索勒solar-反勒索病毒

8Base

8Base是今年2024年勒索软件排行榜上的第三名，这个双重勒索团伙也是从2022年开始活动的，但2023年其活动剧增。 8Base有点怪异，因为其表现出与RansomHouse等其他数据勒索团伙的相似之处，引发人们猜测它们可能有关联。该团伙本身也没有专门的勒索软件，而是部署的旧版Phobos勒索软件的定制变种。 8Base主要通过钓鱼诈骗传播恶意链接实现入侵，并像多数勒索软件团伙一样，依赖多种系统工具、第三方黑客工具和恶意程序:Mimikatz、LaZagne、PasswordFox、KILLAV、SmokeLoader、SystemBC、PCHunter、GMER、Process Hacker等。该团伙使用的定制版Phobos文件加密程序会给加密文件添加.8base扩展名。 8Base已入侵了制造业、金融、法律服务、建筑、医疗等多个行业的组织，但其受害者中有很大一部分是员工人数不到200人的小企业。

首次出现时间：

2022年3月

攻击方法：

关于8base家族的攻击手法，目前已观察到通过钓鱼邮件或使用IAB（Initial Access Brokers-初始访问代理业务）进行投递。该组织还被观察到使用 SystemBC 代理其流量并创建加密的 C2 通道。其入侵主要使用工具有：

防御规避工具	凭证窃取工具	内网渗透工具	数据导出工具
GMER	LaZagne	PsExec	RClone
PCHunter	Mimikatz
ProcessHacker	NirSoft VNCPassView
	NirSoft WebBrowserPassView
	PasswordFox
	ProcDump

勒索地址：

Telegram： https://t.me/eightbase

TOR： http://basemmnnqwxevlymli5bs36o5ynti55xojzvn246spahniugwkff2pad.onion

TOR： http://xb6q2aggycmlcrjtbjendcnnwpmmwbosqaugxsqb4nx6cmod3emy7sad.onion

Twitter： https://twitter.com/8BASEH0ME

8BASE自建网站： http://92.118.36.204/

平台一：自建网站

https://www.bleepingcomputer.com/news/security/tech-giant-nidec-confirms-data-breach-following-ransomware-attack/

德国大众集团遭8Base勒索软件攻击：

https://www.securityweek.com/volkswagen-says-it-infrastructure-not-affected-after-ransomware-gang-claims-data-theft/

变种演化：

暂未查询

IOC 信息

哈希（SHA256）	恶意软件名称	工具详情
281481eb8f1579206e55232754f47587a61bbe1460fc1f3b06157f31d214a290	Ransom.Win32.PHOBOS.THGAGBC	8Base 勒索软件
2288a0c896757647538a7dab5e0c980b70b173ed36c9e6206f6701dfd4112cfb	Ransom.Win32.PHOBOS.THFBFBC	8Base 勒索软件
a31a45f1c686c1ae2ff1733e7e7636a17010b85091b17bdf68c27543866dfca5	Ransom.Win32.PHOBOS.THFBFBC	8Base 勒索软件
8113218903975b81b22049796f201e06638595d2f6fadd82da06817bfbce85d7	Ransom.Win32.PHOBOS.THGAGBC	8Base 勒索软件
89c65668def919cdf677df2774c5646540fee498031f7ecd5c7a6be7b62e9953	Ransom.Win32.PHOBOS.THGAGBC	8Base 勒索软件
872ee36c064f5d9e7df3e5495c7de6aba4b26856556ba2ac124cdbb02693aa02	Ransom.Win32.PHOBOS.THGAGBC	8Base 勒索软件
8879a7a950a3916f5438685f994ee829a20e4c60021db73060cd078e4a72b5a7	Ransom.Win32.PHOBOS.THGAGBC	8Base 勒索软件
408d62cbf4789d9533230eff49b8b45c11b01fd8c8d6d65ec339725d7521a48c	Ransom.Win32.PHOBOS.THGAGBC	8Base 勒索软件
f909efbae3c83ae64dcd8f57e18be891df6386ca89f3a2f4c40d12ebc1913ef4	Ransom.Win32.PHOBOS.THGAGBC	8Base 勒索软件
52661e5c4f8503541a5f361cfa8e4518f852907365e23fdfcc8472fea67df12b	Ransom.Win32.PHOBOS.THGAGBC	8Base 勒索软件
3ec359f6ab125099db4a4f7b6ad6b17ab1411a338be932ea45aea13aad7788c8	Ransom.Win32.PHOBOS.THGAGBC	8Base 勒索软件
b4b89828380c4781c7beafa6dce00ae38cd4adc13ad56792996e28c41def5c53	Ransom.Win32.PHOBOS.SMYXCCW	8Base 勒索软件
15c9373bc7a1cc990d6caa0f3262f6c4adeff93337f642f752b64947ae50cec9	Ransom.Win32.PHOBOS.SMYXCCW	8Base 勒索软件
0867a5d4559cb7084765944e5ab71c67629e90a5fa15e66b7b3d47059c76cb78	Ransom.Win32.PHOBOS.SMYXCCW	8Base 勒索软件
bcdf23bb2e1635cb6639895094f7115af7bc9d07f276507af291cd9b7124e135	Ransom.Win32.PHOBOS.SMYXCCW	8Base 勒索软件
a1ee84c3183521e345b17502b38621201ff6edb86db81debec25d58dec5ad96c	Ransom.Win32.PHOBOS.SMYXCCW	8Base 勒索软件
6192beb56de670de902193a33380e5eb0f3b4b2e3e848e7eea8950075f00f2e5	PUA.Win64.PCHUNTER.L	Luciroot
c17fc56596da1b27561acc516adaf45f0b51fa6c00b33087d7b1205ca2816125	HackTool.Win32.NirsoftPT.SM	PasswordFox 32 bit 密码恢复工具
00fa1dbe7189643267fe88f2dbf36614d98b9449869acabd46e9ac0d677368e5	HackTool.Win64.NirSoftPT.SM	PasswordFox 64 bit 密码恢复工具
816d7616238958dfe0bb811a063eb3102efd82eff14408f5cab4cb5258bfd019	HackTool.Win32.VncPassView.A	VNCPassView 密码恢复工具
c41216eee9756a1dcc546df4fe97defc05513eed64ce6ac05f1501b50e6f96cc	HackTool.Win32.NirsoftPT.SM	VNCPassView 密码恢复工具
e8a3e804a96c716a3e9b69195db6ffb0d33e2433af871e4d4e1eab3097237173	PUA.Win32.GMER.YABBI
28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063	PUA.Win32.ProcHack.A
dbe22190d116e3978a75f2e9ca2422daa2ce3a7d58e34687b602b01744767296	Ransom.BAT.KILLAV.A	关闭windows denfender工具

url
basemmnnqwxevlymli5bs36o5ynti55xojzvn246spahniugwkff2pad.onion	Leak site