尽管 8Base 勒索软件团伙在 2023 年的活动已经大幅增加，但仍不广为人知。该团伙也是双重勒索的使用者，多种手段并用逼迫受害者支付赎金。8Base 最近跨行业攻击了很多目标，但攻击者的身份与潜在动机仍然不明。

数据泄露网站

8Base 是一个勒索软件团伙，自从 2022 年 3 月以来一直保持活跃，且在 2023 年 6 月攻击大幅增强。攻击者在泄漏数据的网站上，提供了各种常见问题的解决方案与多种联系方式。另一个有趣的地方是 8Base 团伙的沟通方式与另一个已知的勒索软件组织 RansomHouse 十分类似。

攻击活动趋势

数据泄露的网站中提供了两个联系方式：

• Telegram：https[:]//t.me/eightbase

• Twitter：@8BaseHome

攻击者的 Twitter 账号

8Base 勒索软件团伙的目标行业有商业服务、金融、制造与信息技术。

攻击行业分布

尽管 8Base 勒索软件团伙并不一定是一个新出现的攻击团伙，但其最近激增的活动并未引起人们的广泛关注。在过去的一个月内，8Base 也可以排得上最活跃的前两位。除了勒索信息与扩展名为 .8Base 的加密文件外，其实大家对 8Base 勒索软件知之甚少。

受害者排行

在发现 8Base 之初，研究人员就注意到其与 RansomHouse 之间存在明显的相似之处。目前，RansomHouse 是否是真正的勒索软件团伙尚有争议。该团伙会购买已经泄露的数据，然后向受害者勒索钱财。

勒索信息

第一个相似之处是利用 Doc2Vec 模型处理勒索信息发现的。8Base 的勒索信息与 RansomHouse 的勒索信息相似度达到 99%，如下所示：

网页相似对比

更加深入地研究后，发现了更多的相似之处：

服务条款页对比

服务条款页对比

数据泄露网站的欢迎页面就是从 RandomHouse 的页面复制过来的，服务条款页与常见问题解答页也是如此。

FAQ 页面对比

对比这两个攻击团伙时，存在两个主要的区别。第一个区别是 RansomHouse 会宣传合作伙伴关系并公开招募合作方。

公开宣传页面

另一个区别是数据泄露页面存在差异，如下所示：

二者差异对比

由于二者高度相似，研究人员怀疑 8Base 是否为 RansomHouse 的分支或者模仿者，但是RansomHouse 使用黑市上出售的各种勒索软件进行攻击，并不自行开发，对于 8Base 也未能找到任何勒索软件变种。

勒索信息对比

勒索信息对比

研究人员发现了两个截然不同的勒索信息：一张与 RansomHouse 相符，另一张与 Phobos 相符。这是否能够说明 8Base 与 RansomHouse 类似，也是用不同的勒索软件进行攻击。那么，8Base 是否为 RansomHouse 的一个分支呢？

8Base 与 Phobos

研究人员发现了使用 .8Base 扩展名的 Phobos 勒索软件样本，尚不清楚这是勒索软件的早期版本还是 8Base 使用不同的勒索软件进行攻击。8Base 在攻击中使用 2.9.1 版本的 Phobos 与 SmokeLoader 对勒索软件进行混淆。由于 Phobos 本身就提供 RaaS 服务，攻击者可以根据自身需要对勒索软件进行定制。

文件扩展名对比

尽管 8Base 在加密文件上使用了 .8Base 以示区别，但其他内容仍然沿用 Phobos，包括 ID、电子邮件地址等。

8Base 正在进行疯狂攻击，目前只能推测其使用几种不同的勒索软件进行攻击。该团伙针对小型企业的攻击十分频繁，一直处于活跃期。

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复“加群”，申请加入群聊】

https://blogs.vmware.com/security/2023/06/8base-ransomware-a-heavy-hitting-player.html