8Base

Surgido a principios de 2023, el grupo de ransomware 8Base, ha dirigido sus ataques principalmente a pequeñas y medianas empresas (PYMES) de diversos sectores. Conocidos por utilizar una gran variedad de cepas de ransomware, su variante utilizada de forma más frecuente es Phobos, capaz de cifrar sistemas que no se encuentren conectados a internet. Se ha observado que la mayoría de cepas comparten similitudes en su código fuente, reciclando así ciertas funciones y características. Los métodos de acceso inicial en las campañas de 8Base varían, centrándose en el uso de phishing o credenciales comprometidas.

Este adversario ha sido relacionado con el operador Ransomhouse con el que existe una coincidencia lingüística, estructural y de contenido muy significativa donde las propias páginas de FAQ, parecen haber sido clonada una de otra. Esto quizás no es un motivo 100% fiable para relacionar ambos grupos, ya que podría tratarse de un grupo que simplemente ha copiado las plantillas de otro operador más establecido en el sector.

Los sitios web de las organizaciones objetivo siguen siendo completamente funcionales, lo que da a entender que el grupo ataca al back-end de los sitios web, sin afectar el front-end. Esto se debe a que el back-end contiene información crítica, como bases de datos, detalles del servidor y registros de actividad.

Se trata de un grupo basado en la estrategia de doble extorsión al igual que muchos otros grupos de ransomware. Desde junio de 2023 ha visto aumentada su actividad, durante los meses de abril y mayo ha publicado información privada de 67 víctimas, solamente superado por el grupo LockBit, que también ha utilizado un modelo operacional basado en el ransomware como servicio (Ransomware-as-a-Service – RaaS).

En abril de 2024, la Comisión de Pesca Marina de los Estados del Atlántico (ASMFC), una importante organización de 80 años de antigüedad creada por el Congreso de los Estados Unidos, recibió el ataque de 8Base aunque no fue públicamente confirmado por la organización. El operador de ransomware agregó la compañía a su página web .onion y dio un plazo de cuatro días para pagar el rescate, al confirmar que habían obtenido el acceso a facturas, datos personales, contratos… etc.

De acuerdo con diferentes fuentes de información, 8Base demuestra respeto hacia el periodismo y muestra una buena disposición a colaborar con estos medios de información. Este enfoque subraya su sólida credibilidad en cuanto a la transparencia y accesibilidad de la información. Esta también podría ser una estrategia para ganar atención y publicidad de los medios digitales. Asimismo, el grupo ofrece apoyo a sus víctimas sugiriendo que eliminen los datos personales antes de hacerlos públicos.

Aunque el grupo apareció de manera oficial en el año 2023, teniendo en cuenta la velocidad y eficiencia que ha demostrado, la empresa americana Sentinel One destaca que este tipo de ataques “no indican el inicio de un nuevo adversario, sino más bien la continuación de una organización madura y bien establecida”. Esto confirmaría una posible relación con grupos como Ransomhouse o Phobos. Emplear la táctica de “rebranding” entre grupos de ransomware es una práctica comúnmente observada, habiendo sido utilizada en el pasado por adversarios como BlackCat/ALPHV o NoEscape.