Aktéři hrozeb stojící za ransomwarem 8Base využívají k provádění svých finančně motivovaných útoků variantu ransomwaru Phobos.
“Většinu variant Phobos skupiny distribuuje SmokeLoader, trojan typu backdoor,” uvedl bezpečnostní výzkumník Guilherme Venere ve vyčerpávající dvoudílné analýze.
“Tento zavaděč komodity při nasazení obvykle snižuje nebo stahuje další užitečné zatížení. V kampaních 8Base má však komponentu ransomwaru vloženou do svých šifrovaných dat, která je poté dešifrována a nahrána do paměti procesu SmokeLoader.”
8Base se dostala do povědomí v polovině roku 2023, kdy podobný nárůst aktivity zaznamenala komunita kybernetické bezpečnosti. Prý je aktivní minimálně od března 2022.
Předchozí analýza od VMware Carbon Black z června 2023 identifikovala paralely mezi 8Base a RansomHouse, kromě toho objevila vzorek ransomwaru Phobos, který byl nalezen pomocí přípony souboru „.8base“ pro šifrované soubory.
To zvýšilo pravděpodobnost, že 8Base je buď nástupcem Phobosu, nebo že aktéři za operací pouze používají již existující kmeny ransomwaru k provádění svých útoků, podobně jako skupina Vice Society.
Nejnovější poznatky společnosti Cisco Talos ukazují, že SmokeLoader se používá jako spouštěcí panel ke spuštění užitečného zatížení Phobos, který pak provádí kroky k nastolení perzistence, ukončuje procesy, které mohou nechat cílové soubory otevřené, zakazuje obnovu systému a odstraňuje zálohy i stínové kopie.
Další pozoruhodnou vlastností je úplné šifrování souborů, které jsou menší než 1,5 MB, a částečné šifrování souborů nad prahovou hodnotou pro urychlení procesu šifrování.
Artefakt navíc obsahuje konfiguraci s více než 70 možnostmi, která je šifrována pomocí pevně zakódovaného klíče. Konfigurace odemkne další funkce, jako je obcházení Řízení uživatelských účtů (UAC) a hlášení infekce oběti na externí adresu URL.
K dispozici je také pevně zakódovaný klíč RSA používaný k ochraně klíče AES pro jednotlivé soubory používaného při šifrování, což by mohlo pomoci umožnit dešifrování souborů uzamčených ransomwarem.
“Jakmile je každý soubor zašifrován, klíč použitý při šifrování spolu s dalšími metadaty je poté zašifrován pomocí RSA-1024 s pevně zakódovaným veřejným klíčem a uložen na konec souboru,” vysvětlil Venere.
“Z toho však vyplývá, že jakmile je znám soukromý klíč RSA, každý soubor zašifrovaný jakoukoli variantou Phobos od roku 2019 lze spolehlivě dešifrovat.”
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
