یک تهدید باج افزار به نام 8Base که بیش از یک سال در زیر رادار فعالیت می کند ، در ماه مه و ژوئن 2023 به “سنبله گسترده فعالیت” نسبت داده شده است. 8Base ، طبق آمار جمع آوری شده توسط Malwarebytes و NCC Group ، از ماه مه 2023 با 67 حمله مرتبط بوده است که حدود 50 ٪ از قربانیان در بخش خدمات تجاری ، تولید و ساخت و ساز فعالیت می کنند. اکثر شرکت های هدفمند در ایالات متحده و برزیل واقع شده اند. با توجه به اطلاعات بسیار کمی در مورد اپراتورهای باج افزار، منشأ آن چیزی شبیه به یک رمزنگاری باقی مانده است. آنچه مشهود است این است که حداقل از مارس 2022 فعال بوده است و بازیگران خود را به عنوان “نفوذگران ساده” توصیف می کنند. VMwareگفت 8Baseبه طور قابل توجهی شبیه گروه دیگری است که به عنوان RansomHouse اخاذی می کند، با استناد به همپوشانی در یادداشت های باج داده شده در ماشین های در معرض خطر و زبان استفاده شده در پورتال های نشت داده مربوطه. محققان گفتند: «حرف به کلمه از صفحه خوشآمدگویی RansomHouse به صفحه خوشآمدگویی 8Baseکپی میشود. “این مورد برای صفحات شرایط خدمات و صفحات سوالات متداول آنها است.”
مقایسه دو گروه تهدید نشان می دهد که در حالی که RansomHouse آشکارا شراکت آنها را تبلیغ می کند، 8Base این کار را نمی کند. یکی دیگر از تمایزهای مهم صفحات نشت آنها است. اما در یک تغییر جالب، VMware اشاره کرد که توانست نمونه باج افزار Phobos را شناسایی کند که از پسوند فایل “.base8” برای فایل های رمزگذاری شده استفاده می کند. این احتمال را افزایش میدهد که 8Base میتواند جانشین فوبوس باشد یا اینکه مهاجمان به سادگی از گونههای باجافزار موجود استفاده میکنند بدون اینکه نیازی به توسعه لاکر سفارشی خود داشته باشند. محققان گفتند: “سرعت و کارایی عملیات فعلی 8Base نشاندهنده شروع یک گروه جدید نیست، بلکه نشاندهنده تداوم یک سازمان بالغ است.” اینکه آیا 8Base شاخه ای از فوبوس یا RansomHouse است، باید مشخص شود. 8Base بخشی از موجی از باج افزارهای مبتدی است که وارد بازار می شوند مانند CryptNet، Xollam و Mallox، حتی به عنوان خانواده های شناخته شده ای مانند BlackCat، LockBit و Trigona شاهد به روز رسانی مداوم ویژگی های خود بوده اند. و به زنجیرهها حمله میکنند تا افقهای خود را فراتر از ویندوز گسترش دهند تا سیستمهای لینوکس و macOS را آلوده کنند. یکی از مواردی که توسط Cyble برجسته شده است مستلزم استفاده از BATLOADER برای استقرار Mallox است که نشان میدهد عوامل تهدید به طور فعال تاکتیکهای خود را برای “تقویت گریز و حفظ فعالیتهای مخرب خود” اصلاح میکنند. کسپرسکی هفته گذشته در تحلیلی گفت: «گروهها کد گروههای دیگر را میپذیرند و شرکتهای وابسته – که میتوانند به خودی خود گروههای جرایم سایبری در نظر گرفته شوند – بین انواع مختلف بدافزار جابهجا میشوند.» «گروهها روی ارتقاء بدافزار خود کار میکنند، ویژگیهایی را اضافه میکنند و از پلتفرمهای متعددی که قبلاً پشتیبانی نمیشدند، پشتیبانی میکنند، روندی که مدتی است وجود داشته است».