8base - RunkIntel

# 8Base > [!warning] **8Base** é um grupo de ameaça atribuído a **Russia** ativo desde **2022**. ## Visão Geral **8Base** e um grupo de extorsao cibernética ativo desde marco de 2022 que empregou o modelo de **dupla extorsao** - criptografando e ameaçando vazar dados roubados. O grupo se descrevia como "pentesters honestos e simples" que "oferecem as condicoes mais leais para o retorno de dados". Técnicamente, o 8Base utilizava uma versao customizada do **Phobos ransomware** (versao 2.9.1), distribuida via **SmokeLoader** como payload de estagio tardio. A operação compartilhava similaridades com o **RansomHouse** em termos de linguagem de notas de resgaté e infraestrutura do leak site. O grupo focava em **pequenas e medias empresas (PMEs)** com menor capacidade de defesa cibersegurança, executando ataques de alto volume em vez de focar em grandes organizacoes. Aproximadamente **15% de todos os ataques ransomware globais** em julho de 2023 foram atribuidos ao 8Base. ## Timeline - Ascensao e Desarticulacao ```mermaid timeline title 8Base - Cronologia Operacional Mar 2022 : Primeiras atividades registradas : Operacoes de baixo perfil Jun 2023 : Lancamento do leak site TOR : Spike massivo de atividade Jul 2023 : Responsavel por 15% de todos ataques ransomware : SentinelOne identifica base Phobos Nov 2023 : HHS alerta setor de saude dos EUA : Ataque a hospital de criancas documentado 2024 : Atividade sustentada com 1000+ vitimas acumuladas : Blue Yonder comprometida 680GB exfiltrados Fev 2025 : Operação Phobos Aetor : 4 russos presos na Tailandia Fev 2025 : 100+ servidores apreendidos : DOJ indicia Roman Berezhnoy e Egor Glebov ``` > [!danger] Operação Phobos Aetor - Grupo Desarticulado em 2025 > Em fevereiro de 2025, uma operação internacional coordenada (**Operação Phobos Aetor**) resultou na **prisao de quatro russos** na Tailandia, apreensao de mais de **100 servidores** e takedown do leak site do 8Base. O DOJ dos EUA indiciou Roman Berezhnoy e Egor Nikolaevich Glebov pelos ataques. O grupo havia acumulado mais de **US$16 milhões** em pagamentos de resgaté de mais de 1.000 vitimas. > [!info] Base Tecnológica - Phobos RaaS > O 8Base nao desenvolveu seu proprio ransomware - utilizou a versao 2.9.1 do **Phobos ransomware** customizada, adicionando a extensao `.8base` aos arquivos criptografados e modificando as notas de resgaté. O código binario e **identico ao Phobos** em nivel de assembly. O SmokeLoader era o vetor de entrega principal do payload Phobos nos ataques 8Base. > [!warning] Brasil como Alvo Prioritario > O Brasil e consistentemente citado como o **segundo pais mais afetado** pelo 8Base, atras apenas dos EUA, em múltiplos relatorios de segurança. PMEs brasileiras nos setores de finanças, manufatura e tecnologia foram alvos documentados. A maioria das vitimas eram empresas pequenas e medias sem proteção avancada de segurança. ## Attack Flow - Dupla Extorsao em PMEs via Phobos ```mermaid graph TB A["🎣 Acesso Inicial Phishing / IABs SmokeLoader como dropper"] --> B["📦 Payload Phobos Phobos RaaS versao 2.9.1 Extension .8base em arquivos"] B --> C["🔄 Persistência Registro / Startup entries Volume Shadow Copy deletado"] C --> D["🛡️ Evasão Binary padding / AES-256 CBC Firewall rules modificadas"] D --> E["📤 Exfiltração Dados financeiros / tecnicos Ameaça de publicacao no TOR"] E --> F["💰 Dupla Extorsao Criptografia AES-256 CBC Leak site para pressao"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef payload fill:#1a5276,color:#fff,stroke:#154360 classDef persist fill:#e67e22,color:#fff,stroke:#d35400 classDef evasion fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 classDef ransom fill:#2c3e50,color:#fff,stroke:#1a252f class A access class B payload class C persist class D evasion class E exfil class F ransom ``` ## Campanhas e Vitimas ### Blue Yonder (Novembro 2024) O 8Base reivindicou responsabilidade pelo comprometimento da Blue Yonder, importante provedora de soluções de gerenciamento de cadeia de fornecimento. **680 GB de dados sensiveis** foram exfiltrados, causando disrupcoes em múltiplos clientes da empresa. Curiosamente, o Cl0p também reivindicou o ataque, levantando questoes sobre colaboracao ou vulnerabilidades compartilhadas. ### Setor de Saúde EUA (2023-2024) Multiplos ataques a organizacoes de saúde, incluindo um hospital de criancas documentado pelo DOJ. O HHS emitiu nota de analista em novembro de 2023 específicamente sobre a ameaça do 8Base ao setor. ### Vitimas Brasil e LATAM De acordo com relatorios da SentinelOne e HHS, **Brasil e EUA** concentravam a maioria das vitimas do 8Base globalmente. PMEs brasileiras nos setores de manufatura, finanças e tecnologia foram afetadas. ## Arsenal e Ferramentas - **Phobos 2.9.1** - Ransomware base (sem modificacoes a nivel binario), extensao `.8base` - **SmokeLoader** - Vetor de entrega do payload (carregado em memoria) - **SystemBC** - Proxy/RAT para mascarar trafico C2 - **WinSCP / WinRAR** - Exfiltração de dados - Exploit kits e drive-by downloads como vetor alternativo **Criptografia:** - AES-256 em modo CBC para arquivos - RSA-1024 para proteger chaves AES - Chave única por arquivo (impossibilita brute-force) ## Técnicas (TTPs) - **T1566** - Phishing como vetor primario - **T1195** - Entrega via SmokeLoader em campanhas pre-existentes - **T1027** - Binary padding para ofuscação e análise dificultada - **T1490** - Delecao de Volume Shadow Copies - **T1562.001** - Modificacao de regras de firewall, desabilitacao de Windows Defender - **T1547** - Persistência via registro e startup entries - **T1486** - Criptografia AES-256 CBC, extensao .8base **Técnicas MITRE referênciadas:** [[t1566-phishing|T1566]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1490-inhibit-system-recovery|T1490]] ## Relevância LATAM O Brasil e consistentemente identificado como o **segundo pais mais afetado** pelo 8Base. As caracteristicas que tornam o Brasil especialmente vulnerável ao perfil de vitimas do grupo: - Grande base de **PMEs** com recursos limitados de segurança - Setores de manufatura e tecnologia altamente ativos e com dados valiosos - Menor maturidade em cibersegurança comparada a EUA e Europa Ocidental Mesmo com a desarticulacao parcial em 2025 via Operação Phobos Aetor, o ecossistema Phobos RaaS pode gerar novos afiliados com o mesmo modelo operacional. ## Detecção e Defesa - Monitorar indicadores de SmokeLoader em análise de trafego de rede - Alertar para extensao `.8base` em arquivos criptografados - Detectar delecao de shadow copies via vssadmin - Bloquear download de payloads via SmokeLoader conhecidos - Aplicar patches em servicos RDP expostos - Implementar MFA em todos acessos remotos **Mitigação referênciada:** [[m1053-data-backup|M1053]] · [[m1032-multi-factor-authentication|M1032]] · [[m1049-antivirus-antimalware|M1049]] ## Referências - [DOJ - Operação Phobos Aetor (Fev 2025)](https://www.justice.gov/opa/pr/justice-department-disrupts-hive-ransomware-group) - [The Hacker News - 8Base Takedown](https://thehackernews.com/2025/02/8base-ransomware-data-leak-sites-seized.html) - [SentinelOne - 8Base In-Depth Analysis](https://www.sentinelone.com/anthology/8base/) - [Cisco Talos - 8Base Phobos Variant](https://securityaffairs.com/154383/cyber-crime/8base-ransomware-phobos-ransomware.html) - [HHS - 8Base Analyst Note](https://www.hhs.gov/sites/default/files/8base-ransomware-analyst-note.pdf) **Atores relacionados:** [[phobos-ransomware-group|Phobos RaaS]] · [[ransomhouse|RansomHouse]] **Setores alvejados:** [[manufacturing|Manufatura]] · [[financial|Financeiro]] · [[healthcare|Saúde]]