À l’aide d’un ransomware bien connu, les pirates du gang 8Base multiplient les attaques contre les PME. Les hackers utilisent en effet une combinaison de malwares pour berner les systèmes de sécurité de Windows.
En mars 2022, un nouveau gang de cybercriminels a commencé à se faire connaître. Baptisé 8Base, le gang s’est spécialisé dans les ransomwares, ou les rançon logiciels en français. Ces virus chiffrent le contenu d’un ordinateur avant de réclamer une rançon en cryptomonnaies.
Contrairement à des groupes comme Lockbit ou Royal, 8Base vise uniquement les petites et moyennes entreprises (PME), indique un rapport de Logpoint. La société danoise estime que 8Base choisit d’ailleurs ses cibles en fonction de leurs moyens en matière de sécurité :
« En général, les petites et moyennes organisations ont plus de difficultés à allouer des budgets de sécurité et souffrent de pénuries en matière de cybersécurité, ce qui est un cocktail dangereux lorsqu’un groupe de ransomware comme 8base les cible ».
Depuis son apparition, le gang a considérablement intensifié ses activités criminelles. Désormais, 8Base se classe d’ailleurs dans le top 5 des maîtres chanteurs les plus actifs au monde, aux côtés de redoutables bandes comme Clop ou Bianlian. En plus d’un an d’existence, les criminels ont rançonné 156 entreprises. Au cours de la première partie d’août, 12 entités se sont retrouvées dans le viseur de 8Base. La cadence s’accélère, estime le rapport.
À lire aussi : un redoutable nouveau ransomware sort de l’ombre, le terrible DarkGate
Le mode opératoire de 8Base
Pour glisser le ransomware sur l’ordinateur de ses victimes, les pirates de 8Base s’appuient sur des e-mails de phishing. Ceux-ci contiennent un fichier qui, une fois téléchargé, installe des maliciels. Il est donc possible de se protéger en rester vigilant et en ne faisant pas aveuglément confiance aux courriels reçus.
Lors de l’attaque, les hackers utilisent ensuite un véritable arsenal de logiciels malveillants, comme SmokeLoader, un virus qui permet d’installer d’autres malwares, et SystemBC, un outil qui cache les activités illicites et offre un contrôle complet à la machine infectée. Ces armes permettent de contourner les défenses du système d’exploitation Windows et d’implanter durablement le virus dans l’OS.
Enfin, le ransomware Phobos est finalement installé sur l’ordinateur. Ce cheval de Troie, dont le nom a été inspiré par le dieu grec de la peur, a fait son apparition en 2018. Il est largement commercialisé par le biais d’un abonnement RaaS (Ransomware-as-a-Service) sur le dark web. Phobos exploite des brèches dans le Remote Desktop Protocol (RDP), un protocole de communication conçu par Microsoft qui permet à un utilisateur de se connecter à distance à un ordinateur depuis un autre emplacement.
Des hackers équitables ?
D’après une enquête menée par Zataz, et publiée au début de l’été, les pirates de 8Base prétendent proposer à leurs victimes « des conditions équitables pour la restitution de leurs données ». Les cybercriminels affirment être très différents des autres groupes qui déploient des ransomwares :
« Nous ne sommes pas extrémistes et nous valorisons la vie, la liberté, l’égalité d’accès à l’information, la démocratie et les méthodes de communication non violentes ».
Quand une victime refuse de payer, les hackers réagissent cependant comme leurs pairs. Ils publient les données sur leur blog et les réseaux sociaux pour faire un exemple. L’essor de 8Base a vraisemblablement contribué à l’explosion des attaques par ransomware.
Source :
LogPoint