Ransomware-Gruppierungen spezialisieren sich mehr und mehr. Die Cyber-Kriminellen nehmen bestimmte Branchen, Big Player oder auch gezielt kleine und mittlere Unternehmen ins Visier. So hat in diesem Sommer eine Gruppierung namens „8Base“ von sich reden gemacht, weil sie sich über effektive Hacking-Kampagnen in die Top 5 der aktivsten Ransomware-Gruppierungen vorgearbeitet hat – und das mit Angriffen auf kleine und mittlere Unternehmen. Erstmals auf dem Radar von Cyber-Sicherheitsschützern ist die bösartige Gruppierung Anfang 2022 aufgetaucht, seit Juni diesen Jahres ist die Gruppe jedoch aktiver als je zuvor.
Ein dänischer Anbieter von Sicherheitsplattformen hat durch Malware-Analyse nun die aktuell von 8base genutzte Infektionskette aufgedeckt. 8base verwendet, um die gewünschten Ziele zu erreichen, laut der Forschungsabteilung des Kopenhagener Unternehmens Logpoint gleich mehrere Malware-Familien, darunter SmokeLoader und SystemBC – zusätzlich zur Phobos Ransomware-Nutzlast. Zugang verschafft sich die Ransomware-Gruppierung in erster Linie über Phishing-E-Mails und nutzt dann die Windows Command Shell und Power Shell, um die Nutzlast auszuführen. Die Angreifer verwenden mehrere Techniken, um sich im System zu halten, die Abwehr zu umgehen und ihr „Programm abzuspulen“.
Um 8base-Aktivitäten im eigenen System rechtzeitig zu erkennen, müssen Sicherheitsteams in der Lage sein, verdächtige untergeordnete Prozesse zu beobachten und zu analysieren, auch solche, die von Microsoft Office-Produkten gestartet werden, wie sie etwa bei der Ausführung von Dateien mit WScript oder CScript oder der Erstellung von geplanten Aufgaben ablaufen. Es geht dabei darum, die relevanten Indikatoren für eine Kompromittierung (IoC) und die Taktiken, Techniken und Verfahren (TTPs) der Angreifer zu erkennen, um verdächtige Aktivitäten, wie sie etwa von 8base angestoßen werden, proaktiv zu vereiteln oder wenigstens abzuschwächen. „Vor allem kleine und mittelständische Unternehmen müssen sich mit der Bedrohung durch 8base vertraut machen und, was noch wichtiger ist, ihre Sicherheitsvorkehrungen zum Schutz vor 8base verstärken“, rät Anish Bogati, Security Research Engineer bei Logpoint. Die wichtigsten Hilfsmittel für eine robuste Cybersicherheitsstrategie seien in so einem Fall nach wie vor ordnungsgemäße Protokollierung, die Sichtbarkeit von Ressourcen und strenge Überwachung. Diese Komponenten unterstützen dabei, den Überblick über das Netzwerk zu behalten und helfen außerdem, Anomalien wie das Ablegen von Dateien in öffentlich beschreibbaren Ordnern, die Änderung von Registrierungswerten und verdächtige geplante Aufgaben zu erkennen, die auf eine Sicherheitsbedrohung durch 8base und ähnliche kriminelle Akteure hindeuten können. „Wer es allerdings versäumt, die notwendigen Sicherheitsbausteine proaktiv vorzubereiten“, mahnt Bogati, „der läuft Gefahr, ein weiteres Opfer in der immer länger werdenden Liste der Ransomware-Vorfälle zu werden.“
