8Base Ransomware Group

8Base es un grupo de ransomware que surgió por primera vez en 2022, pero que intensificó sus operaciones y refinó sus métodos de forma significativa en 2023. El malware comenzó como un cripto-ransomware pero desde entonces ha evolucionado para realizar multi-extorsión en sus ataques. El malware es muy similar al de Fobos y grupos afines; sin embargo, no se conoce ninguna relación formal entre los distintos grupos.

Solicite una demostración Más información

¿Cómo actúa el ransomware 8Base?

Normalmente, el malware 8Base se introduce en los entornos objetivo a través de correos electrónicos de phishing o de intermediarios de acceso inicial. Se trata de ciberdelincuentes que han obtenido acceso a la red de una empresa por algún medio - phishing, credenciales comprometidas, extorsión por vulnerabilidad, etc. - y venden ese acceso a otros ciberdelincuentes en la Dark Web.

Una vez que ha infectado un ordenador, 8Base actúa como un ransomware de doble extorsión, tanto encriptando como robando datos. Comienza enumerando todas las unidades conectadas al sistema e identificando los archivos de datos dentro de ellas. Estos archivos se cifran mediante AES-256 en modo CBC y tienen la base .8 extensión adjunta a ellos.

El malware también utiliza diversos medios para evadir la detección, añadir persistencia y protegerse contra la recuperación de datos. Algunas técnicas incluyen:

  • Modificación de las reglas de firewall para desactivar Windows Defender Advanced firewall.
  • Eliminación de instantáneas de volumen para archivos cifrados.
  • Deshabilitar el modo de recuperación en la política de inicio.
  • Agregar persistencia en el Registro de Windows y en la carpeta de inicio.

Además de cifrar los datos, el malware también intentará robarlos de las máquinas infectadas. Una vez cifrados y exfiltrados los datos, el malware presentará una petición de rescate al propietario del dispositivo infectado.

Una vez presentada la demanda de rescate, la empresa puede optar por pagar el rescate para restaurar el acceso a sus archivos cifrados. Si no es el caso, entonces entra en juego la doble extorsión, en la que el grupo de ransomware 8Base amenazará con exponer la información sensible que han robado de los sistemas de la empresa si ésta sigue negándose a pagar. Esta violación de datos puede causar un daño significativo a la reputación de la organización y puede dar lugar a sanciones reglamentarias debido a la falta de protección adecuada de los datos de los clientes.

¿Cuál es el objetivo del ransomware 8Base?

El grupo de ransomware 8Base se dirige a empresas de diversos sectores verticales, como el financiero, el manufacturero, el informático y el sanitario. En general, los destinatarios son las pequeñas y medianas empresas (PYMES) y se encuentran principalmente en Estados Unidos, Brasil y el Reino Unido.

Cómo protegerse contra el ransomware 8Base

Un ataque de ransomware puede ser perjudicial y costoso para una organización. Algunas de las mejores prácticas para protegerse contra 8Base y otros ataques de ransomware son las siguientes:

 

  • Formación en seguridad para empleados: Se sabe que el grupo de ransomware 8Base utiliza correos electrónicos de phishing como uno de sus principales vectores de infección. Formar a los empleados para que detecten y respondan adecuadamente a las amenazas de phishing más comunes puede ayudar a reducir el riesgo que suponen para la empresa.
  • Soluciones Anti-ransomware: Las soluciones antiransomware pueden utilizar el análisis del comportamiento y la detección de firmas para identificar, así como bloquear las posibles infecciones de ransomware en un dispositivo. Por ejemplo, ransomware abre y modifica muchos archivos durante el proceso de cifrado, lo que constituye un comportamiento inusual y probablemente malicioso que las soluciones de seguridad de terminales pueden utilizar como posible indicador de compromiso (IoC).
  • Copias de seguridad de datos: 8Base es una variante de ransomware de doble extorsión, lo que significa que cifra y roba datos a la vez. Tener copias de seguridad de datos proporciona a la organización la opción de restaurar los datos cifrados a partir de las copias de seguridad, en lugar de pagar por la clave de descifrado.
  • Seguridad de confianza cero: 8Base y otras variantes de ransomware necesitan poder acceder a datos de gran valor para cifrarlos o robarlos. La aplicación de la seguridad de confianza cero -basada en el principio del mínimo privilegio- reduce la probabilidad de que el malware pueda obtener el acceso que necesita sin ser detectado.
  • Autenticación de usuario fuerte: El ransomware puede utilizar contraseñas débiles o comprometidas para obtener acceso a las cuentas de usuario, así como a sus permisos asociados. La implantación de la autenticación de múltiples factores (MFA) puede impedir este método de acceso inicial o de elevación de privilegios dentro de los sistemas de una empresa.
  • red Segmentación: ransomware puede necesitar viajar a través de la red de una organización desde su punto de infección inicial hasta las bases de datos y otros objetivos de alto valor. La segmentación de la red dificulta esta tarea aislando los sistemas críticos de las estaciones de trabajo de los empleados y facilitando a la organización la implantación y aplicación de controles de acceso de confianza cero.

Evite ataques de ransomware con Check Point

La prevención es el único medio eficaz de gestionar la amenaza del ransomware. Una vez que el ransomware ha comenzado a cifrar o exfiltrar datos, el daño ya está hecho. Para saber más sobre cómo prevenir los ataques a ransomware y eliminar su coste potencial para la organización, consulte la Guía del CISO para la prevención de ransomware .

Check Point's Harmony Endpoint ofrece protección contra una amplia gama de amenazas de seguridad de terminales. Esto incluye una sólida protección contra el ransomware, así como la detección y el bloqueo de una amplia gama de otros tipos de malware. Para obtener más información sobre Harmony Endpoint y lo que puede hacer por su empresa, regístrese para una demostración gratuita hoy mismo.

Comenzar

Harmony Endpoint

Guía del CISO para la prevención del ransomware

Informe sobre ciberseguridad 2024 de Check Point

Infografía de la encuesta de liderazgo intelectual CISO/CIO de IDC 2024

Protección contra ransomware

Temas relacionados

Eliminación de ransomware

Recuperación de ransomware

El ransomware Locker

El ransomware de triple extorsión

Akira Ransomware

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing.Al seguir usando este sitio web, usted acepta el uso de cookies.Para obtener más información, lea nuestro Aviso de cookies.
Aceptar