盡管 8Base 勒索軟件團伙在 2023 年的活動已經大幅增加，但仍不廣為人知。該團伙也是雙重勒索的使用者，多種手段并用逼迫受害者支付贖金。8Base 最近跨行業攻擊了很多目標，但攻擊者的身份與潛在動機仍然不明。

image.png-298.4kB

數據泄露網站

8Base 勒索軟件

8Base 是一個勒索軟件團伙，自從 2022 年 3 月以來一直保持活躍，且在 2023 年 6 月攻擊大幅增強。攻擊者在泄漏數據的網站上，提供了各種常見問題的解決方案與多種聯系方式。另一個有趣的地方是 8Base 團伙的溝通方式與另一個已知的勒索軟件組織 RansomHouse 十分類似。

image.png-229.7kB

攻擊活動趨勢

數據泄露的網站中提供了兩個聯系方式：

• Telegram：https[:]//t.me/eightbase
• Twitter：@8BaseHome

image.png-882.6kB

攻擊者的 Twitter 賬號

8Base 勒索軟件團伙的目標行業有商業服務、金融、制造與信息技術。

image.png-222.3kB

攻擊行業分布

盡管 8Base 勒索軟件團伙并不一定是一個新出現的攻擊團伙，但其最近激增的活動并未引起人們的廣泛關注。在過去的一個月內，8Base 也可以排得上最活躍的前兩位。除了勒索信息與擴展名為 .8Base 的加密文件外，其實大家對 8Base 勒索軟件知之甚少。

image.png-204kB

受害者排行

到底是誰的勒索？

在發現 8Base 之初，研究人員就注意到其與 RansomHouse 之間存在明顯的相似之處。目前，RansomHouse 是否是真正的勒索軟件團伙尚有爭議。該團伙會購買已經泄露的數據，然后向受害者勒索錢財。

image.png-900.8kB

勒索信息

第一個相似之處是利用 Doc2Vec 模型處理勒索信息發現的。8Base 的勒索信息與 RansomHouse 的勒索信息相似度達到 99%，如下所示：

image.png-607.3kB

網頁相似對比

更加深入地研究后，發現了更多的相似之處：

image.png-629kB

服務條款頁對比

image.png-650.9kB

服務條款頁對比

數據泄露網站的歡迎頁面就是從 RandomHouse 的頁面復制過來的，服務條款頁與常見問題解答頁也是如此。

image.png-2055.4kB

FAQ 頁面對比

對比這兩個攻擊團伙時，存在兩個主要的區別。第一個區別是 RansomHouse 會宣傳合作伙伴關系并公開招募合作方。

image.png-619.8kB

公開宣傳頁面

另一個區別是數據泄露頁面存在差異，如下所示：

image.png-1055.6kB

二者差異對比

由于二者高度相似，研究人員懷疑 8Base 是否為 RansomHouse 的分支或者模仿者，但是RansomHouse 使用黑市上出售的各種勒索軟件進行攻擊，并不自行開發，對于 8Base 也未能找到任何勒索軟件變種。

image.png-691.5kB

勒索信息對比

image.png-815.3kB

勒索信息對比

研究人員發現了兩個截然不同的勒索信息：一張與 RansomHouse 相符，另一張與 Phobos 相符。這是否能夠說明 8Base 與 RansomHouse 類似，也是用不同的勒索軟件進行攻擊。那么，8Base 是否為 RansomHouse 的一個分支呢？

8Base 與 Phobos

研究人員發現了使用 .8Base 擴展名的 Phobos 勒索軟件樣本，尚不清楚這是勒索軟件的早期版本還是 8Base 使用不同的勒索軟件進行攻擊。8Base 在攻擊中使用 2.9.1 版本的 Phobos 與 SmokeLoader 對勒索軟件進行混淆。由于 Phobos 本身就提供 RaaS 服務，攻擊者可以根據自身需要對勒索軟件進行定制。

image.png-190.2kB

文件擴展名對比

盡管 8Base 在加密文件上使用了 .8Base 以示區別，但其他內容仍然沿用 Phobos，包括 ID、電子郵件地址等。

8Base 的樣本文件是通過域名 admlogs25[.]xyz 下載而來，該域名似乎與遠控工具 SystemBC 存在關聯。

總結

8Base 正在進行瘋狂攻擊，目前只能推測其使用幾種不同的勒索軟件進行攻擊。該團伙針對小型企業的攻擊十分頻繁，一直處于活躍期。

8Base 是否為 Phobos 或者 RandomHouse 的分支還有待觀察，但一目了然的是 8Base 與 RansomHouse 幾乎相同。