勒索软件新玩家：8Base

尽管 8Base 勒索软件团伙在 2023 年的勒索活动已经大幅增加
，但仍不广为人知。软件该团伙也是新玩双重勒索的使用者，多种手段并用逼迫受害者支付赎金 。勒索8Base 最近跨行业攻击了很多目标，软件但攻击者的新玩身份与潜在动机仍然不明。

image.png-298.4kB

数据泄露网站

8Base 是勒索一个勒索软件团伙，自从 2022 年 3 月以来一直保持活跃，软件且在 2023 年 6 月攻击大幅增强 。新玩攻击者在泄漏数据的勒索网站上
，提供了各种常见问题的源码库软件解决方案与多种联系方式
。另一个有趣的新玩地方是 8Base 团伙的沟通方式与另一个已知的勒索软件组织 RansomHouse 十分类似  。

image.png-229.7kB

攻击活动趋势

数据泄露的勒索网站中提供了两个联系方式 ：

image.png-882.6kB

攻击者的 Twitter 账号

8Base 勒索软件团伙的目标行业有商业服务、金融、软件制造与信息技术。新玩

image.png-222.3kB

攻击行业分布

尽管 8Base 勒索软件团伙并不一定是一个新出现的攻击团伙
，但其最近激增的亿华云活动并未引起人们的广泛关注。在过去的一个月内
，8Base 也可以排得上最活跃的前两位。除了勒索信息与扩展名为 .8Base 的加密文件外
，其实大家对 8Base 勒索软件知之甚少。

image.png-204kB

受害者排行

在发现 8Base 之初 ，研究人员就注意到其与 RansomHouse 之间存在明显的相似之处 。目前，RansomHouse 是云计算否是真正的勒索软件团伙尚有争议  。该团伙会购买已经泄露的数据，然后向受害者勒索钱财 。

image.png-900.8kB

勒索信息

第一个相似之处是利用 Doc2Vec 模型处理勒索信息发现的 
。8Base 的勒索信息与 RansomHouse 的勒索信息相似度达到 99% ，如下所示  ：

image.png-607.3kB

网页相似对比

更加深入地研究后，发现了更多的相似之处 ：

image.png-629kB

服务条款页对比

image.png-650.9kB

服务条款页对比

数据泄露网站的欢迎页面就是模板下载从 RandomHouse 的页面复制过来的，服务条款页与常见问题解答页也是如此。

image.png-2055.4kB

FAQ 页面对比

对比这两个攻击团伙时
，存在两个主要的区别 。第一个区别是 RansomHouse 会宣传合作伙伴关系并公开招募合作方  。

image.png-619.8kB

公开宣传页面

另一个区别是数据泄露页面存在差异 
，如下所示
：

image.png-1055.6kB

二者差异对比

由于二者高度相似，研究人员怀疑 8Base 是否为 RansomHouse 的分支或者模仿者，免费模板但是RansomHouse 使用黑市上出售的各种勒索软件进行攻击，并不自行开发，对于 8Base 也未能找到任何勒索软件变种
 。

image.png-691.5kB

勒索信息对比

image.png-815.3kB

勒索信息对比

研究人员发现了两个截然不同的勒索信息：一张与 RansomHouse 相符，另一张与 Phobos 相符 。这是否能够说明 8Base 与 RansomHouse 类似 ，也是用不同的勒索软件进行攻击。那么，8Base 是否为 RansomHouse 的香港云服务器一个分支呢
？

研究人员发现了使用 .8Base 扩展名的 Phobos 勒索软件样本，尚不清楚这是勒索软件的早期版本还是 8Base 使用不同的勒索软件进行攻击。8Base 在攻击中使用 2.9.1 版本的 Phobos 与 SmokeLoader 对勒索软件进行混淆。由于 Phobos 本身就提供 RaaS 服务，攻击者可以根据自身需要对勒索软件进行定制。

image.png-190.2kB

文件扩展名对比

尽管 8Base 在加密文件上使用了 .8Base 以示区别，但其他内容仍然沿用 Phobos，包括 ID、电子邮件地址等 。

8Base 的样本文件是通过域名 admlogs25[.]xyz 下载而来 ，该域名似乎与远控工具 SystemBC 存在关联。

8Base 正在进行疯狂攻击
，目前只能推测其使用几种不同的勒索软件进行攻击 。该团伙针对小型企业的攻击十分频繁 ，一直处于活跃期。

8Base 是否为 Phobos 或者 RandomHouse 的分支还有待观察，但一目了然的是 8Base 与 RansomHouse 几乎相同。

最新评论