عوامل تهدید پشت باج افزار 8Base اخیرا در حال استفاده از گونهای از باج افزار Phobos به منظور انجام حملات سایبری با انگیزه مالی مشاهده شدهاند.
Guilherme Venere، محقق امنیتی شرکت talosintelligence، در یک تحلیل جامع دو قسمتی که در هفدهم نوامبر ۲۰۲۳ منتشر شد، اظهار داشت که انواع Phobos این گروه غالبا توسط SmokeLoader که یک تروجان بکدور است، توزیع میشوند. این لودر معمولا هنگام استقرار، پیلودهای بیشتری را دانلود میکند اما در کمپینهای 8Base، کامپوننت باجافزار در پیلودهای رمزگذاری شده خود قرار دارد که پس از رمزگشایی، در حافظه فرآیند SmokeLoader بارگذاری میشود.
آخرین یافتههای سیسکو تالوس نشان میدهد که SmokeLoader به عنوان یک سکوی پرتاب برای اجرای پیلود Phobos مورد استفاده قرار میگیرد. محققان برخی ویژگیهای پیادهسازی شده توسط Phobos را کشف کردند که از جمله آنها حفظ دسترسی در سیستم هدف، رمزگذاری سریع، حذف نسخههای بک آپ و همچنین کپیهای shadow، غیرفعال سازی بازیابی سیستم و پایان دادن به فرآیندهایی است که ممکن است فایل های هدف را باز نگه دارند. Phobos یک باج افزار معمولی است که میتواند فایل ها را هم در درایوهای لوکال و هم در اشتراک های شبکه رمزگذاری کند.
یکی دیگر از ویژگیهای قابل توجه Phobos، رمزگذاری کامل فایلهای زیر ۱.۵ مگابایت و رمزگذاری جزئی فایلهای بالاتر از این مقدار برای سرعت بخشیدن به فرآیند رمزگذاری است که دارای یک پیکربندی با بیش از ۷۰ گزینه میباشد. فرآیند رمزگذاری با استفاده از یک کلید هارد کد شده، صورت میپذیرد. این پیکربندی، امکان استفاده از ویژگی های بیشتر مانند دور زدن کنترل حساب کاربری (UAC) و ارسال گزارش به یک URL خارجی را فراهم میآورد. افزایش سطح دسترسی فرآیند معمولاً باعث نمایش یک هشدار به کاربر میشود و ممکن است از اجرای بدافزار جلوگیری کند. از این رو، برای دور زدن آن پیام، بسیاری از برنامه های مخرب از یک دور زدن UAC یا اکسپلویت ها استفاده میکنند تا سطح دسترسی فرآیند خود را افزایش دهند.
همچنین یک کلید RSA هارد کد شده وجود دارد که برای محافظت از کلید AES هر فایلِ مورد استفاده در رمزگذاری، استفاده میشود و میتواند به رمزگشایی فایلهای رمز و قفل شده توسط باج افزار کمک کند. هنگامی که هر یک از فایل ها رمزگذاری گردید، کلید مورد استفاده به همراه متادیتاهای اضافی با استفاده از RSA-1024 به همراه یک کلید عمومی رمزگذاری شده، رمزگذاری میگردد و در انتهای فایل ذخیره میشود. هنگامی که کلید خصوصی RSA شناخته شد، هر فایلی که از سال ۲۰۱۹ توسط هر نوع Phobos رمزگذاری شده است، میتواند به طور قابل اطمینان رمزگشایی گردد.
8Base در اواسط سال ۲۰۲۳ مورد توجه قرار گرفت و گفته میشود حداقل از مارس ۲۰۲۲ فعال میباشد و بر روی مشاغل کوچک و متوسط در صنایع مختلف از جمله مالی، تولید، تجاری و فناوری اطلاعات متمرکز شده است. کارشناسان امنیتی، ۶۷ حمله را در ماه مِی ۲۰۲۳ به این گروه نسبت دادند که اغلب قربانیان متعلق به ایالات متحده و برزیل هستند.
تجزیه و تحلیل پیشین VMware Carbon Black در ژوئن ۲۰۲۳، حاکی از شباهتهایی میان 8Base و RansomHouse میباشد که در این بررسی نمونه باج افزار Phobos نیز کشف گردید و از پسوند “8Base.“ برای رمزگذاری فایل ها، استفاده میشود.
تحلیل و بررسیهای VMware Carbon Black، این احتمال را افزایش داد که گروه 8Base یا جانشین Phobos است و یا اینکه عوامل تهدید در پشت این عملیات صرفاً از گونه های باج افزار موجود، شبیه به گروه باج افزار Vice Society برای انجام حملات خود استفاده می کنند.
Phobos که برای اولین بار در سال ۲۰۱۹ شناسایی شد، تکامل یافته باج افزار Dharma (معروف به Crysis) است که باج افزار عمدتاً به صورت انواع Eking، Eight، Elbie، Devos و Faust بر اساس حجم شواهد کشف شده در VirusTotal ظاهر میشود.
نمونه ها همگی حاوی کد منبع یکسانی هستند و به گونهای پیکربندی شدهاند که از رمزگذاری فایل هایی که توسط سایر Phobosهای وابسته پیشین قفل شده اند، جلوگیری میکنند، اما پیکربندی، بسته به نوعِ در حال نصب، کمی تغییر کرده است. این بر اساس یک بلاک لیست پسوند فایل در تنظیمات پیکربندی باج افزار است.
سیسکو تالوس ارزیابی میکند که Phobos توسط یک مرجع مرکزی مدیریت میشود، در حالی که در قالب ارائه باج افزار به عنوان یک سرویس (RaaS) به سایر شرکتهای وابسته بر اساس همان کلید عمومی RSA، تغییر در ایمیل های تماس و به روز رسانی های منظم بلاک لیست های افزونه باج افزار، به فروش میرسد.
استفاده مستمر گروه 8Base از باجافزار، به ویژه نوع Phobos، بر تهدید دائمی آنها علیه سازمانها تأکید میکند و یافتههای سیسکو تالوس و تاکتیکهای در حال تکامل، اهمیت اقدامات امنیتی سایبری قوی برای دفاع در برابر چنین فعالیتهای مجرمانهای را برجسته میکند.
