Dans le domaine des ransomwares, un groupe de cybercriminels commence à faire parler de lui dans la communauté de cybersécurité. Son nom est 8Base et vient de passer de l’ombre à la lumière en deux mois. Les chercheurs en sécurité de VMware ont publié une mise en garde sur ce cybergang à l’appui de dernières statistiques récentes d'attaques qui viennent d'être déployées.

« Bien que le groupe de rançongiciels 8Base ne soit pas nécessairement un nouveau groupe, son pic d'activité récent n'est pas passé inaperçu. Même au cours des 30 derniers jours, il figure parmi les deux groupes de rançongiciels les plus performants », rapporte le spécialiste de la virtualisation. 8Base arrive derrière le redoutable Lockbit et revendique 67 victimes pour le mois de mai 2023. Il cible les secteurs des services, du manufacturing et de la construction. Selon Malwarebytes et NCC Group, les victimes sont situées aux Etats-Unis et au Brésil.

8Base se positionne en seconde position derrière Lockbit, mais devant Blackcat en termes d'activité sur le mois de mai 2023. (Crédit Photo: VMware)

Des similitudes avec d’autres groupes de ransomware

Détecté pour la première fois en mars 2022, le groupe de ransomware 8Base utilise le chiffrement des fichiers (son nom vient d’ailleurs de l’extension des fichiers cryptés) et la tactique du « name and shame » pour forcer les victimes à payer une rançon. Il dispose d’un site où il publie la liste des victimes ainsi que les données dérobées. A ses débuts, les membres de l’organisation se définissaient comme de simples « pen tester ». Force est de constater qu’il s’agit d’un acteur expérimenté et bien organisé.

Les opérations du gang présentent des similitudes importantes entre 8Base et un autre groupe appelé RansomHouse (qui a notamment frappé AMD), observe les experts de VMware. En comparant les notes de rançon des deux structures, ils ont constaté une concordance linguistique de 99 %. La langue des sites de fuite des deux groupes était également identique. « Le verbiage est copié mot pour mot de la page d'accueil de RansomHouse à la page d'accueil de 8Base », a déclaré VMware. Les deux seules différences majeures entre les groupes sont que RansomHouse fait la publicité de ses partenariats et recrute ouvertement des affiliés, ce qui n'est pas le cas de 8Base. D’où l’interrogation des chercheurs de savoir si 8Base « n’était pas une ramification de RansomHouse ou un imitateur ». A noter qu’ils ont aussi trouvé des échantillons du ransomware Phobos dans les attaques de 8Base. Un groupe à surveiller de près donc…