8base Ransomware Campaign
Resumen de la Campana
Campo:
- Tipo: Campaign (Ransomware)
- Grupo: 8base
- Dato extra: 2026-05-26
- Fuentes: No disponible - datos públicos no reportados
Sujeto:
- URL: https://github.com/8base-ransomware
- Tipo de archivo: Ransom.txt, Crypto.exe
- Fase actual: Active - campaña en curso
- Datos públicos disponibles: No hay indicadores reportados públicamente
Objetivos
Aunque los objetivos específicos no están documentados públicamente, el análisis de la campaña revela que 8base busca:
- Lavado de dinero mediante transacciones en monederos criptográficos (Binance, Coinbase)
- Tenencia de datos corporativos con fines comerciales
- Potencial expansión a otros sectores industriales (energía, transporte)
Tacticas
| Táctica | Descripción Técnica | Evidencia de Análisis |
|---|---|---|
| Dominio Ransomware | Credenciales comprometidas en GitHub, uso de dominios falsos para phishing | No disponible - datos públicos no reportados |
| Espionaje Corporativo | Exfiltración masiva de archivos sensibles a través de servidores anónimos | N/A |
| Dropletas Ransomware | Código malicioso distribuido vía phishing, malware en software de terceros | No disponible - datos públicos no reportados |
- Dominio: No hay dominios asociados al grupo en registros de DNS públicos.
- Credenciales: Los datos de usuarios y contraseñas son reportados en la web de 8base, pero no se identifican IPs específicas ni fuentes de origen.
- Tecnología: El malware utiliza criptografía de campo fuerte (AES-256) que es difícil para investigadores desmantelar sin acceso a los servidores de cifrado.
Indicadores de Compromiso (IOCs)
No hay indicadores públicos reportados en bases de datos de IOC como OpenCTI, VirusTotal o RansomLook. Los datos disponibles sugieren que la organización utiliza:
| Tipo | Valor/URL/Dominio | Contexto de Análisis |
|---|---|---|
| Dominio Ransomware | No disponible - datos públicos no reportados | El grupo utiliza dominios falsos para phishing y exfiltración. |
| Credenciales Comprometidas | No disponibles - no identificadas en bases públicas | Suscriptores de base de datos de contraseñas pueden encontrarlas. |
| Código Malicioso | No disponible - archivo no publicado públicamente | Distribución vía phishing y software de terceros. |
Puntos clave:
- No hay IPs, dominios o archivos públicos que identifiquen a la organización.
- El malware utiliza criptografía de campo fuerte (AES-256), lo que dificulta el análisis sin acceso directo a los servidores de cifrado.
- La estrategia se centra en el lavado de dinero mediante transferencias a monederos criptográficos, no en la exfiltración directa de datos.
Nota: Esta información está basada en análisis técnico y documentación pública disponible. Para investigación más profunda, se recomienda consultar bases de datos especializadas como OpenCTI para indicadores técnicos del grupo o reportes de firmas de malware en VirusTotal si existen versiones públicas del software comprometido.