8Base

Überblick

Bei 8base handelt es sich um eine Ransomware-Gruppe, die nach ihrem ersten Auftreten zunächst nur wenig in Erscheinung trat, ihre Aktivität später jedoch deutlich steigerte. Die Gruppe geht nach dem Muster anderer Ransomware-Akteure vor und setzt auf doppelte Erpressung („Double Extortion“): Daten werden vor der Verschlüsselung entwendet, um zusätzlichen Druck aufzubauen. Betroffen sind Einrichtungen unterschiedlicher Branchen. Zur Veröffentlichung erbeuteter Daten betreibt 8base eine eigene Leak-Plattform, deren Auftreten sich selbst als ehrlich und schlicht darstellt. In einem Bericht von VMware wurden Parallelen zur Gruppe „RansomHouse“ gezogen, etwa hinsichtlich der genutzten Website und der eingesetzten Erpressernachrichten. Bemerkenswert ist, dass 8base über keine selbst entwickelte Verschlüsselungssoftware verfügt. Stattdessen greift die Gruppe auf durchgesickerte Ransomware-Baukästen zurück, passt die Erpressernachricht an und präsentiert die Angriffe gegenüber den betroffenen Organisationen als eigene Operation.

Taktiken & Vorgehen

Zur Ausführung und Verankerung im System nutzt 8base geplante Aufgaben (Scheduled Tasks), Skript-Interpreter sowie Autostart-Mechanismen über Registry-Run-Schlüssel. Zum Abgreifen von Zugangsdaten kommen Werkzeuge wie „LaZagne“, „Mimikatz“, „ProcDump“ sowie die NirSoft-Tools „VNCPassView“ und „WebBrowserPassView“ und „PasswordFox“ zum Einsatz; ergänzt wird dies durch das Auslesen von Tastatureingaben (Input Capture). Zur Tarnung und Abwehrumgehung dienen verschleierte und gepackte Dateien, Masquerading, das Löschen von Dateien sowie das Deaktivieren von Sicherheitswerkzeugen, wofür „GMER“, „PCHunter“ und „ProcessHacker“ verwendet werden. Über „PsExec“ erfolgt seitliche Bewegung durch das Infizieren freigegebener Inhalte. Erbeutete Daten werden zusammengeführt und mit „RClone“ abgezogen. Abschließend werden Daten verschlüsselt und zerstört sowie die Systemwiederherstellung unterbunden.

Schutzmaßnahmen

Der Einsatz von Werkzeugen zum Auslesen von Zugangsdaten wie „Mimikatz“, „LaZagne“ oder „ProcDump“ sollte durch eingeschränkte Rechte, Schutz des Speicherzugriffs auf Anmeldeprozesse und Überwachung verdächtiger Auslesevorgänge erschwert werden. Geplante Aufgaben und Autostart-Einträge in Registry-Run-Schlüsseln sollten überwacht und auf unautorisierte Änderungen geprüft werden. Versuche, Sicherheitswerkzeuge mittels „GMER“, „PCHunter“ oder „ProcessHacker“ zu deaktivieren, sollten durch Manipulationsschutz der Schutzsoftware unterbunden werden. Die Nutzung von „PsExec“ und das Infizieren freigegebener Inhalte sollten durch Einschränkung administrativer Fernausführung und Absicherung von Netzwerkfreigaben begrenzt werden. Ausgehender Datenverkehr sollte überwacht werden, um einen Datenabfluss über „RClone“ frühzeitig zu erkennen.