GETOVERX FORUM Community Support   ›   Malware Docs   ›   Ransomware   ›   Ransomware – 8Base (2023)

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Ransomware – 8Base (2023)
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 144

Reputation: 11
#1
11-29-2025, 04:05 PM (This post was last modified: 12-07-2025, 03:59 PM by mrwebfeeder.)
Nombre: 8Base

Categoría: Ransomware (RaaS, cifrado de archivos, doble extorsión)

Fecha de descubrimiento: 2023 (campañas activas contra PYMEs / SMBs)

Comportamiento (lo que hace y archivos que infecta):
- Highly active RaaS operation targeting SMBs:
- Operado como Ransomware-as-a-Service (RaaS), con afiliados que apuntan sobre todo a pequeñas y medianas empresas.
- Se aprovecha de:
- Segmentación de red limitada.
- Ausencia de EDR avanzado.
- Gestión deficiente de cuentas administrativas y accesos remotos.
- Vectores de acceso inicial típicos:
- Credenciales robadas de RDP, VPN, paneles de hosting, paneles de administración web.
- Explotación de servicios expuestos a Internet con vulnerabilidades conocidas.
- Campañas de phishing dirigidas que entregan loaders o herramientas de acceso remoto.
- Una vez dentro de la red:
- Realiza reconocimiento (equipos, shares, servidores, backups accesibles).
- Intenta escalar privilegios hasta obtener cuentas de administrador local o de dominio.
- Cifra archivos de usuario y datos de negocio:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos, recursos compartidos (SMB/NAS) y copias de seguridad conectadas.
- Suele realizar exfiltración de datos antes o durante el cifrado, para presionar a la víctima con la publicación en sitios de “data leak”.
- Archivos afectados:
- Cualquier archivo de valor de negocio al que tenga acceso con los privilegios obtenidos.
- Backups presentes en discos externos montados, NAS o shares de backup conectados en el momento del ataque.

Persistencia:
- Se mantiene activo el tiempo suficiente para cifrar el máximo posible, utilizando:
- Claves de Registro Run/RunOnce y/o servicios en Windows para relanzar el binario en endpoints.
- Tareas programadas que reejecutan el payload o scripts de soporte.
- A nivel de operación RaaS:
- Uso sostenido de credenciales comprometidas y herramientas de administración remota (RDP, VPN, software de soporte) para volver a entrar si no se corrige la brecha original.
- Posibles backdoors adicionales (cuentas ocultas, claves SSH, herramientas de acceso remoto instaladas silenciosamente).

Hash real de referencia (SHA-256):
Muestra pública asociada a 8Base:
Code:
0f27b8e53b2887d2cc88d2f35f674ba9099fad21a7d6cd6c6ca0c5e96e8a4b6d

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • HIPS / EDR:
    - Detect privilege escalation attempts (EDR):
    - Crear reglas para detectar:
    - Uso anómalo de herramientas de elevación de privilegios (runas, UAC bypass, exploits locales).
    - Cambios en pertenencia a grupos privilegiados (Administrators, Domain Admins).
    - Creación de cuentas nuevas con privilegios altos fuera de los procedimientos normales.
    - Al detectar un intento de escalado no autorizado:
    - Generar alerta de alta prioridad.
    - Registrar detalle (usuario, host, comando, hora) en los logs unificados.
    - Activar el bloqueador de ransomware por comportamiento:
    - Detección de cifrado masivo y cambios rápidos de extensión en muchos archivos.
    - Respuesta automática:
    - Matar el proceso responsable del cifrado.
    - Bloquear el hash del binario para futuras ejecuciones.
    - Iniciar el aislamiento del host (ver sección Firewall).

  • Antivirus:
    - Block unsigned binaries (AV):
    - Configurar políticas para bloquear o poner en cuarentena:
    - Binarios sin firma que se ejecuten desde rutas no estándar (Descargas, Temp, escritorio, perfiles de usuario).
    - Ejecutables desconocidos iniciados por primera vez en servidores de ficheros, contabilidad o sistemas críticos.
    - Mantener firmas y heurísticas actualizadas para:
    - Detectar loaders, droppers y herramientas auxiliares asociadas a 8Base.
    - Ejecutar escaneos periódicos en:
    - Servidores clave de la organización.
    - Unidades de red mapeadas utilizadas para compartir documentos y backups.

  • Sandbox:
    - Sandbox suspicious downloads:
    - Enviar a la Sandbox:
    - Descargas de Internet con ejecutables o scripts.
    - Adjuntos de correo comprimidos o con macros.
    - Herramientas “de soporte” recibidas de terceros/proveedores antes de instalarlas.
    - Observar si:
    - Intentan cifrar datos o renombrar masivamente archivos.
    - Crean tareas programadas, claves de Registro de inicio o servicios sospechosos.
    - Se comunican con dominios/IPs poco habituales o recién vistos.
    - Sólo permitir la ejecución en el entorno real si el archivo supera el análisis sin indicadores maliciosos.

  • Firewall / Segmentación:
    - Limitar la superficie de ataque:
    - Exponer el mínimo posible de servicios a Internet, siempre con MFA y listas de IP permitidas en VPN/RDP.
    - Segmentar la red para que una sola estación comprometida no tenga acceso directo a todos los servidores y shares.
    - Aislar automáticamente cualquier host donde:
    - El EDR detecte comportamiento de ransomware.
    - Se observen conexiones sospechosas hacia infraestructura de 8Base o IPs desconocidas.
    - El aislamiento puede incluir:
    - Bloquear SMB, RDP y otros protocolos de movimiento lateral.
    - Restringir todo tráfico saliente salvo el estrictamente necesario para análisis y remediación.

  • Medidas posteriores al incidente:
    - Revisar y rotar credenciales de:
    - Administradores locales y de dominio.
    - Cuentas con acceso remoto (VPN/RDP).
    - Cuentas de servicio utilizadas por aplicaciones críticas.
    - Validar y reforzar:
    - Políticas de correo y filtrado de adjuntos.
    - Procedimientos de instalación de software (sólo desde repositorios y proveedores confiables).
    - Restaurar datos únicamente desde backups offline verificados, confirmando que:
    - No estuvieron montados ni accesibles durante el incidente.
    - No contienen binarios ni scripts relacionados con 8Base.

Notas opcionales:
- 8Base se caracteriza por campañas agresivas contra PYMEs, combinando cifrado de datos con filtración en sitios de fuga para maximizar la presión económica y reputacional sobre las víctimas.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)