8Base es uno de los ransomware que ha provocado mayor número de víctimas en 2024

  • Actualidad
ransomware

Sus actividades han contribuido a que los ataques de ransomware aumentaran en un 25% en todo el mundo y han aparecido vinculados a importantes casos en los puertos de los Balcanes o empresas como Volkswagen, expandiéndose fuera de Estados Unidos.

Grupos como 8Base, Cl0p o LockBit son auténticas empresas criminales. En los últimos años se ha profesionalizado este ámbito, hasta el punto de que, en muchas ocasiones, están incluso financiadas por Estados. Se estructuran con una profesionalidad que daría envidia a cualquier multinacional. Según datos de la consultora Chainalysis, los ingresos por ataques de ransomware alcanzaron más de 450 millones de dólares en 2023.

La competencia entre estos grupos es brutal. Cada uno busca dominar el mercado del cibercrimen con ataques cada vez más sofisticados. Uno de los que más relevancia ha obtenido a lo largo de 2024 es 8BASE, muy especializado en ransomware. Desde mayo han incrementado sus actividades y están detrás de una enorme cantidad de infracciones como los recientes ataques a uno de los mayores puertos de los Balcanes.

El grupo de cibermercenarios ha aparecido en diversos informes de investigación en seguridad informática a lo largo del año. Apareció vinculado a ataques a empresas como el sucedido en Volkswagen o el Programa de Naciones Unidas para el Desarrollo (PNUD). Para entender la relevancia de este grupo es necesario tener presente un dato: sus actuaciones contribuyeron a aumentar en un 25% los ataques de ransomware en todo el mundo solo en 2023, según estimaciones de Cybernews.

Las pequeñas empresas como objetivos

Junto con Cl0p y LockBit, fueron responsables del 48% de todos los ciberataques registrados en verano de 2023. Sin embargo, 8BASE sigue siendo un grupo relativamente desconocido, lo que incrementa las preocupaciones en las industrias. La rápida escalada de sus operaciones y la similitud con otros grupos de ransomware, como RansomHouse, han llevado a sospechar acerca de una posible conexión entre ambos.

De hecho, actúa como un ransomware de doble extorsión, es decir, encriptando y robando datos. Su modus operandi también incluye la publicación de detalles de sus víctimas. Se sospecha que el grupo tiende a filtrar la información en la dark web pero también a través de distintos canales de Telegram, desde donde se comunican con las empresas afectadas.

Los principales objetivos del grupo de ciberdelincuentes son empresas a quienes amenazan para obtener información y denunciar las posibles debilidades de las organizaciones en materia de seguridad informática, pero con el tiempo se ha descubierto sus actividades fuera de Estados Unidos.

Las investigaciones apuntan a que el ransomware diseñado por 8BASE se infiltra a través del buzón de correo electrónico mediante técnicas de phishing, que engañan a las víctimas haciéndose pasar por empresas oficiales. A partir de ahí, se ha detectado la presencia de SystemBC, conocido como Coroxy o DroxiDat, que es un malware de tipo troyano de acceso remoto (RAT) con capacidades de proxy que se enfoca en infectar dispositivos con sistema operativo Windows para controlarlos de manera remota. Se cree también que han utilizado Smoke Loader, un software malicioso de tipo troyano usado para propagar varios virus.

“La vigilancia de nuevos grupos debe ser constante. En 2024 se ha vuelto a observar que el ransomware sigue siendo una de las técnicas más relevantes para cometer los delitos informáticos. Las empresas, como vemos, siguen siendo los principales objetivos, y continuará en 2025 seguro”, valora Hervé Lambert, Global Consumer Operations Manager de Panda Security.