Le groupe de pirates informatiques 8BASE est monté en flèche sur la scène de la cybercriminalité depuis son émergence en 2022, s'imposant rapidement comme une force notable dans le domaine des ransomwares. En 2023, leur notoriété avait considérablement augmenté en raison de leur méthodologie efficace et de l'impact significatif de leurs attaques sur les victimes. Dès le départ, 8BASE s'est spécialisé dans les ransomwares, en ciblant principalement les petites et moyennes entreprises (PME). 

Cette focalisation sur les PME était stratégique, car elle exploitait la vulnérabilité intrinsèque de ces entreprises qui disposent souvent de ressources limitées en matière de cybersécurité. Certains experts ont noté que le groupe avait spécifiquement ciblé des entreprises situées aux États-Unis, au Brésil et au Royaume-Uni. Les secteurs touchés comprenaient les entreprises de l'agroalimentaire, les cabinets d'avocats et les industriels.

En peu de temps, 8BASE s'est hissé dans le top 5 des extorqueurs les plus actifs au niveau mondial. Cette ascension rapide témoigne de leur capacité à exécuter des attaques de ransomware à grande échelle et à échapper à la neutralisation par les forces de l'ordre et les experts en cybersécurité.

En mai 2023, 8BASE a franchi une nouvelle étape dans sa stratégie en choisissant de rendre publiques ses actions, une tactique provocatrice. Ce choix a marqué un changement important dans l'approche opérationnelle du groupe, délaissant la discrétion qui était de mise jusqu'alors.

Le mode opératoire de 8BASE fait appel à toute une série de méthodes sophistiquées. En plus de campagnes de phishing élaborées et de l'exploitation des vulnérabilités des protocoles de communication, le groupe utilise également des logiciels malveillants avancés tels que SmokeLoader et SystemBC. SmokeLoader sert de cheval de Troie pour déposer d'autres charges malveillantes, tandis que SystemBC est utilisé pour dissimuler des communications malveillantes avec des serveurs de commande et de contrôle.

Une fois que le groupe a pu accéder au SI d'une entreprise, il utilise principalement le ransomware Phobos pour chiffrer les données des victimes et exiger le paiement d'une rançon. Le groupe 8BASE pratique la double extorsion, en menaçant de publier ou de vendre les données exfiltrées si la rançon n'est pas payée, ce qui augmente considérablement la pression sur les victimes.

Ils utilisent également une tactique cruciale dans leur arsenal appelée "name and shame", où ils publient les noms des victimes sur leur site ou d'autres plateformes du dark web pour exercer une pression supplémentaire sur ces dernières afin qu'elles paient la rançon.

L’émergence du groupe cybercriminel 8BASE a eu un impact important sur le paysage de la cybersécurité. Leur présence a forcé les entreprises et les organisations à revoir et à renforcer leurs stratégies de défense contre les ransomwares. La menace posée par 8BASE reste une préoccupation majeure pour les experts en sécurité, car le groupe continue d'évoluer et d'adapter ses tactiques à mesure que la cybersécurité évolue également.

En termes de prévention et pour renforcer leur sécurité, les entreprises doivent mettre en place des mesures essentielles de protection comme posséder un logiciel anti-malware robuste, une surveillance continue du trafic réseau, des audits de sécurité réguliers et la formation des collaborateurs.