8BASE GROUP IMPLANTANDO NOVA VARIANTE DO PHOBOS RANSOMWARE VIA SMOKELOADER

 

Os agentes de ameaças por trás do ransomware 8Base estão aproveitando uma variante do ransomware Phobos para conduzir seus ataques com motivação financeira.

As conclusões vêm do Cisco Talos, que registrou um aumento na atividade realizada por cibercriminosos.

“A maioria das variantes do grupo Phobos são distribuídas pelo SmokeLoader, um trojan backdoor”, disse o pesquisador de segurança Guilherme Venere em uma análise exaustiva de duas partes publicada na sexta-feira.

"Este carregador de commodities normalmente descarta ou baixa cargas adicionais quando implantado. Nas campanhas 8Base, no entanto, ele tem o componente ransomware incorporado em suas cargas criptografadas, que é então descriptografado e carregado na memória do processo SmokeLoader."

O 8Base ganhou destaque em meados de 2023, quando um aumento semelhante na atividade foi observado pela comunidade de segurança cibernética. Diz-se que está ativo pelo menos desde março de 2022.

Uma análise anterior do VMware Carbon Black em junho de 2023 identificou paralelos entre 8Base e RansomHouse, além de descobrir uma amostra de ransomware Phobos que foi encontrada usando a extensão de arquivo “.8base” para arquivos criptografados.

Isso aumentou a probabilidade de que o 8Base seja um sucessor do Phobos ou que os atores da ameaça por trás da operação estejam apenas usando variedades de ransomware já existentes para conduzir seus ataques, semelhante ao grupo de ransomware Vice Society.

As últimas descobertas do Cisco Talos mostram que o SmokeLoader é usado como uma plataforma de lançamento para executar a carga útil do Phobos, que então executa etapas para estabelecer persistência, encerrar processos que podem manter os arquivos de destino abertos, desabilitar a recuperação do sistema e excluir backups, bem como sombra. cópias.

Outra característica notável é a criptografia completa de arquivos abaixo de 1,5 MB e criptografia parcial de arquivos acima do limite para acelerar o processo de criptografia.

Além disso, o artefato incorpora uma configuração com mais de 70 opções criptografadas usando uma chave codificada. A configuração desbloqueia recursos adicionais, como ignorar o Controle de Conta de Usuário (UAC) e relatar a infecção de uma vítima para um URL externo.

Há também uma chave RSA codificada usada para proteger a chave AES por arquivo usada na criptografia, que Talos disse que poderia ajudar a permitir a descriptografia de arquivos bloqueados pelo ransomware.

“Depois que cada arquivo é criptografado, a chave usada na criptografia junto com os metadados adicionais é então criptografada usando RSA-1024 com uma chave pública codificada e salva no final do arquivo”, elaborou Venere.

“Isso implica, no entanto, que, uma vez conhecida a chave RSA privada, qualquer arquivo criptografado por qualquer variante do Phobos desde 2019 pode ser descriptografado com segurança”.

Phobos, que surgiu pela primeira vez em 2019, é uma evolução do ransomware Dharma (também conhecido como Crysis), com o ransomware se manifestando predominantemente como as variantes Eking, Eight, Elbie, Devos e Faust, com base no volume de artefatos descobertos no VirusTotal.

“Todas as amostras continham o mesmo código-fonte e foram configuradas para evitar a criptografia de arquivos que outras afiliadas da Phobos já bloquearam, mas a configuração mudou ligeiramente dependendo da variante que está sendo implantada”, disse Venere. "Isso se baseia em uma lista de bloqueio de extensão de arquivo nas configurações do ransomware."

Cisco Talos avalia que Phobos é gerenciado de perto por uma autoridade central, enquanto é vendido como um ransomware como serviço (RaaS) para outras afiliadas com base na mesma chave pública RSA, nas variações nos e-mails de contato e nas atualizações regulares para as listas de bloqueio de extensões do ransomware.

“As listas de bloqueio de extensão parecem contar a história de quais grupos usaram a mesma amostra base ao longo do tempo”, disse Venere.

"As listas de extensões bloqueadas encontradas em muitas amostras de Phobos [...] são continuamente atualizadas com novos arquivos que foram bloqueados em campanhas anteriores de Phobos. Isso pode apoiar a ideia de que existe uma autoridade central por trás do construtor que monitora quem usou Phobos no passado. A intenção poderia ser evitar que as afiliadas de Phobos interferissem nas operações umas das outras."

O desenvolvimento ocorre no momento em que FalconFeeds revela que um agente de ameaça está anunciando um sofisticado produto de ransomware chamado UBUD, desenvolvido em C e apresenta “fortes medidas anti-detecção contra máquinas virtuais e ferramentas de depuração”.

Também segue uma reclamação formal apresentada pelo grupo de ransomware BlackCat à Comissão de Valores Mobiliários dos EUA (SEC), alegando que uma de suas vítimas, MeridianLink, não cumpriu os novos regulamentos de divulgação que exigem que as empresas afetadas relatem o incidente dentro de quatro negócios. dias, informou DataBreaches.net.

Desde então, a empresa de software financeiro confirmou que foi alvo de um ataque cibernético em 10 de novembro, mas observou que não encontrou provas de acesso não autorizado aos seus sistemas.

Embora as regras de divulgação da SEC só entrem em vigor no próximo mês, em 18 de dezembro, a tática de pressão incomum é um sinal de que os atores da ameaça estão observando de perto o espaço e estão dispostos a distorcer as regulamentações governamentais em seu benefício e obrigar as vítimas a pagar.

Dito isto, vale a pena notar que a aplicação aplica-se exclusivamente em situações em que as empresas identificaram que os ataques tiveram um impacto “material” nos seus resultados financeiros.

Enquanto isso, outra prolífica gangue de ransomware, LockBit, instituiu novas regras de negociação a partir de outubro de 2023, citando acordos abaixo do esperado e descontos maiores oferecidos às vítimas devido aos “diferentes níveis de experiência dos afiliados”.

“Estabeleça um pedido de resgate mínimo dependendo da receita anual da empresa, por exemplo, 3%, e proíba descontos superiores a 50%”, disseram os operadores do LockBit, de acordo com um relatório detalhado do Analyst1.

“Assim, se a receita da empresa for de US$ 100 milhões, o pedido inicial de resgate deve começar em US$ 3 milhões e o pagamento final não deve ser inferior a US$ 1,5 milhão.”

Veja a noticia completa em: https://thehackernews.com/2023/11/8base-group-deploying-new-phobos.html

Fonte: https://thehackernews.com

 

Achou esse artigo interessante? Siga Samir News em Instagram, Facebook, Telegram, Twitter, Grupo No Whatsapp, App Boletim Tec 2.0 e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #8base #group #implantando #nova #variante #do #phobos #ransomware #via #smokeloader