8Base

8Base Ransomware

8Base Hacking Group

(шифровальщик-вымогатель, группа вымогателей) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Адрес BTC-кошелька передаётся через чат вымогателей. Оригинальное название: 8Base. Вымогатели дают пострадавшим только три дня на выкуп, а на четвертый они обещают опубликовать данные на своём сайте. 

Как оказалось, вымогатели используют два варианта: один от Phobos (ссылка), другой от RansomHouse. 

© Генеалогия: Phobos и другие >> 8Base (на языке .NET) ⇒ 8Base (на языке C)

Сайт "ID Ransomware" идентифицирует это как 8Base (c 23 мая 2023). 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в мае 2023 г., хотя началась в апреле 2023 г., судя по сообщениям на сайте в сети Tor.  

Используют метод двойного вымогательства: сначала похищают данные жертвы, потом шифруют их, затем требуют выкуп, угрожая опубликовать информацию. 

Ориентирован на англоязычных пользователей, может распространяться по всему миру. Цели: от крупных до мелких компаний, от юридических фирм до некоммерческих организаций в США, Бразилии, Великобритании, Австралии, Германии, Канаде и пр. 

К зашифрованным файлам добавляется расширение: .8Base

В зависимости от используемого варианта шаблон зашифрованного файла может быть следующим: 

.ID-XXXXXXXX.[<email>].8base

.id[XXXXXXXX-XXXX].[<email>].8base

Записки с требованием выкупа называются: info.txt, info.hta

Краткое содержание записки о выкупе:

Dear Management,

If you are reading this message, it means that: 

      - your network infrastructure has been compromised, 

      - critical data was leaked, 

      - files are encrypted

--------------------------------------------------------------------------

            The best and only thing you can do is to contact us 

              to settle the matter before any losses occurs.

Onion Site: ***246spahniugwkff2pad.onion/

Telegram Channel: ***eightbase

--------------------------------------------------------------------------

                                  1. THE FOLLOWING IS STRICTLY FORBIDDEN

1.1 EDITING FILES ON HDD.

                            Renaming, copying or moving any files 

                            could DAMAGE the cipher and 

                            decryption will be impossible. 

1.2 USING THIRD-PARTY SOFTWARE. 

                            Trying to recover with any software 

                            can also break the cipher and 

                            file recovery will become a problem.

1.3 SHUTDOWN OR RESTART THE PC. 

                            Boot and recovery errors can also damage the cipher. 

                            Sorry about that, but doing so is entirely at your own risk.

***

Начальная страница сайта вымогателей: 

Условия вымогателей:

Вымогатели о себе: 

Официальный логотип:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Кажется игнорирует страны СНГ. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, добавляет свою копию в автозагрузку системы, отключает брандмауэр Windows. 

➤ Вырубает ряд процессов, мешающих шифрованию файлов:

agntsvc.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, onenote.exe, oracle.exe, outlook.exe, powerpnt.exe, sqbcoreservice.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, steam.exe, synctime.exe, tbirdconfig.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, xfssvccon.exe, 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
info.txt, info.hta - названия файлов с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Telegram Channel: hxxxs://t.me/eightbase

Twitter account: hxxxs://twitter.com/8BASEHOME

Tor-leak-site: 

hxxx://basemmnnqwxevlymli5bs36o5ynti55xojzvn246spahniugwkff2pad.onion/contact

Email: helpermail@onionmail.org

8filesback@onionmail.org

***@rexsdata.pro

Tor-URL: 

dexblog45.xyz

sentrex219.xyz

URLs (related addresses): 

admhexlogs25.xyz 

admlogs25.xyz 

admlog2.xyz 

blogstat355.xyz 

blogstatserv25.xyz 

dexblog.xyz 

dnm777.xyz 

serverlogs37.xyz 

wlaexfpxrs.org 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9769c181ecef69544bbb2f974b8c0e10

SHA-1: 5d0f447f4ccc89d7d79c0565372195240cdfa25f

SHA-256: e142f4e8eb3fb4323fb377138f53db66e3e6ec9e82930f4b23dd91a5f7bd45d0

Vhash: 0250467d15151025z1006anz5fz

Imphash: 493c0587242c6f974644a1959b9764db

Еще варианты на основе Phobos:

C6BD5B8E14551EB899BBE4DECB6942581D28B2A42B159146BBC28316E6E14A64

518544E56E8CCEE401FFA1B0A01A10CE23E49EC21EC441C6C7C3951B01C1B19C

Подробный отчет можно скачать по ссылке:

www.hhs.gov/sites/default/files/8base-ransomware-analyst-note.pdf

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 ноября 2023:

Версия, написанная на языке C.

Расширение: .8base

Пример расширение: .id[ACFEEEC3-3483].[recovery8files@onionmail.org].8base

Записка: info.txt, info.hta

Email: recovery8files@onionmail.org

Статья от Fortinet >>

 

IOC: VT: MD5: 87d6d2488b1260e70f4042bf1f292529
Обнаружения:

DrWeb -> Trojan.Encoder.31543

ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.C

Kaspersky -> HEUR:Trojan-Ransom.Win32.Phobos.vho

Microsoft -> Ransom:Win32/Phobos.PM

Symantec -> Ransom.Phobos!gm1

Tencent -> Trojan-Ransom.Win32.Phobos.fa

TrendMicro -> Ransom.Win32.CRYSIS.SMA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Overview by Fortinet (December 28, 2023)

 Thanks: 
 Threatlabz
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.