新的勒索软件组织开始肆虐

2023年5月和6月，勒索勒索软件活动的软件大规模激增归因于一个相对不知名的勒索软件组织8Base 。

研究人员称，组织“虽然8Base勒索软件组织不一定是开始一个新组织 ，但他们最近活动的肆虐激增吸引了广泛关注。甚至在过去的勒索30天里 ，它已成功问鼎Top2勒索组织之列。软件关于8Base使用的组织勒索软件类型 ，公众所知不多 ，开始只知道它的肆虐赎金通知
，源码下载以及它以‘.8base’扩展名附加加密文件。勒索”

该组织利用加密与“点名羞辱”技术相结合 ，软件迫使受害者支付赎金  。组织VMware表示 ，开始8Base最近对不同行业的肆虐受害者采取了机会主义的妥协模式。

据了解 ，8Base是一个勒索软件组织 ，自2022年3月以来一直活跃
。该组织将自身描述为“诚实而简单的渗透测试者” 。他们的泄密网站通过常见问题和规则部分提供了受害者的详细信息，源码库以及多种联系该组织的方式。

截至2023年5月 ，该组织已关联67起攻击事件
，其中约一半的受害者来自商业服务、制造业和建筑业 。根据Malwarebytes和NCC Group收集的统计数据显示，大多数被攻击的公司位于美国和巴西。

在审查8Base时，研究人员注意到8Base组织与另一个名为RansomHouse的组织之间存在显著的相似之处。

VMware在报告中表示 ，云计算“RansomHouse是否是一个真正的勒索软件组织还有待商榷;该组织购买已经泄露的数据 ，与数据泄露网站合作 ，然后勒索公司钱财  。”

研究人员比较了两个组织的赎金通知，发现在语言组织方面存在99%的一致性 。此外，两个组织泄密网站的语言也是相同的。建站模板

VMware表示 ，“这些措辞可以说是逐字逐句地从RansomHouse的欢迎页面复制到了8Base的欢迎页面 。这两个组织之间唯一的两个主要区别是，RansomHouse会宣传其合作伙伴关系
，并公开招募合作伙伴，而8Base则不会。鉴于两者之间的相似性，我们提出了一个问题
 ，即8Base是否可能是亿华云RansomHouse的衍生品或模仿者
 。RansomHouse以使用黑市上各种各样的勒索软件而闻名 ，并且没有自己的签名勒索软件作为比较的基础。有趣的是 ，在研究8Base时，我们也没能找到一个勒索软件变种
。”

在搜索8Base组织使用的勒索软件样本时，研究人员发现了类似于Phobos样本的属性 。高防服务器将Phobos和8Base的样本进行比较后发现 ，8Base使用的是装载了SmokeLoader的Phobos 2.9.1版本。

Phobos勒索软件以勒索软件即服务(RaaS)的形式提供。其他威胁行为者可以根据他们的需求定制部件 ，如8Base勒索通知所示。

VMware表示，“尽管这两个组织的勒索信息很相似 ，但关键的区别在于Phobos勒索软件的上下部分有Jabber指令和‘Phobos’，而8Base勒索软件的上角有‘cartilage’ ，背景是紫色的 ，且没有Jabber指令 。”

最后，VMware警告称，“考虑到8Base这头‘野兽’的性质 ，我们目前只能推测 ，他们正在使用多种不同类型的勒索软件——要么是早期的变种 ，要么是正常操作程序的一部分。我们所知道的是 ，这个群体非常活跃，目标是小型企业。”