Sus actividades han contribuido a que los ataques de “ransomware” aumentaron en un 25% en todo el mundo y han aparecido vinculados a importantes casos en los puertos de los Balcanes o empresas como Volkswagen, expandiéndose fuera de Estados Unidos. Es uno de los “ransomware” que han provocado mayor número de víctimas en el primer trimestre del 2024.

Si el cibercrimen fuera fútbol, grupos como 8Base, Cl0p o LockBit estarían disputando la Champions League. Y no por su destreza con el balón, sino por la cantidad de dinero que mueven por sus actividades. Estamos hablando de cifras que rivalizan con los ingresos de clubes de élite como el Real Madrid o el Manchester City, pero con una gran diferencia: aquí los goles son ataques de “ransomware”, las estrategias se orquestan en la Dark Web, y los “fichajes estrella” son ciberdelincuentes de élite que operan desde cualquier rincón del mundo.

Estos grupos son auténticas empresas criminales. En los últimos años se ha profesionalizado este ámbito hasta el punto que, en muchas ocasiones, están incluso financiadas por Estados. Se estructuran con una profesionalidad que daría envidia a cualquier multinacional. Según datos de la consultora Chainalysis, los ingresos por ataques de “ransomware” alcanzaron más de 450 millones de dólares en 2023.

LockBit, por ejemplo, lidera esta macabra liga gracias a un modelo de negocio conocido como “Ransomware-as-a-Service (RaaS)”, donde alquilan su software a “socios” que llevan a cabo los ataques y luego comparten las ganancias. Suena tan organizado como un departamento de marketing, ¿verdad? Ha sido el grupo que más titulares se ha llevado en 2024.

Competencia feroz: un derbi sin árbitro

La competencia entre estos grupos es brutal, casi como un clásico Barça-Madrid. Cada uno busca dominar el “mercado” del cibercrimen con ataques cada vez más sofisticados. Cl0p, famoso por sus ataques masivos a empresas utilizando vulnerabilidades de aplicaciones populares como MOVEit, no duda en jugar sucio, mientras que 8Base, más joven pero igual de letal, se ha especializado en campañas de extorsión que parecen sacadas del guión de una serie de Netflix.

Porque la realidad es que, en el mundo de la ciberdelincuencia, también hay rivalidades entre grupos de ciberatacantes, que pugnan para cometer los mayores delitos. Uno de los que más relevancia ha obtenido a lo largo de 2024 es 8BASE, muy especializado en “ransomware” o “secuestro de datos”. Desde mayo han incrementado sus actividades y están detrás de una enorme cantidad de infracciones como los recientes ataques a uno de los mayores puertos de los Balcanes.

El grupo de cibermercenarios ha aparecido en diversos informes de investigación en seguridad informática a lo largo del año. Apareció vinculado a ataques a empresas como el sucedido en Volkswagen o el Programa de Naciones Unidas para el Desarrollo (PNUD).

La primera vez que se detectó la presencia de 8BASE fue en 2022. Para entender la relevancia de este grupo es necesario tener presente un dato: sus actuaciones contribuyeron a aumentar en un 25% los ataques de “ransomware” en todo el mundo solo en 2023, según estimaciones de Cybernews.

Junto con Cl0p y LockBit, fueron responsables del 48% de todos los ciberataques registrados en verano de 2023. Sin embargo, 8BASE sigue siendo un grupo relativamente desconocido, lo que incrementa las preocupaciones en las industrias. La rápida escalada de sus operaciones y la similitud con otros grupos de “ransomware”, como RansomHouse, han llevado a sospechar acerca de una posible conexión entre ambos.

Las pequeñas empresas como objetivos

De hecho, actúa como un “ransomware” de doble extorsión, es decir, encriptando y robando datos. Su modus operandi también incluye la publicación de detalles de sus víctimas. Se sospecha que el grupo tiende a filtrar la información en la dark web pero también a través de distintos canales de Telegram, desde donde se comunican con las empresas afectadas.

Los principales objetivos del grupo de ciberdelincuentes son empresas, a quienes amenazan para obtener información y denunciar las posibles debilidades de las organizaciones en materia de seguridad informática, pero con el tiempo se ha descubierto sus actividades fuera de Estados Unidos. En 2023 atacó a centros sanitarios pertenecientes a la red de salud pública en Estados Unidos, lo que provocó que el Centro de Coordinación de Ciberseguridad del Sector Sanitario (HC3) advirtiera de su presencia en un comunicado de prensa.

Las tácticas que emplea el grupo

Pero, ¿cuáles son sus técnicas? Las investigaciones apuntan a que el “ransomware” diseñado por 8BASE se infiltra a través del buzón de correo electrónico mediante técnicas de “phishing” o “suplantación de identidad”, que engañan a las víctimas haciéndose pasar por empresas oficiales.

A partir de ahí, se ha detectado la presencia de SystemBC, conocido como Coroxy o DroxiDat, que es un “malware” de tipo troyano de acceso remoto (RAT) con capacidades de proxy que se enfoca en infectar dispositivos con sistema operativo Windows para controlarlos de manera remota. Se cree también que han utilizado Smoke Loader, un software malicioso de tipo troyano usado para propagar varios virus.

La vigilancia de nuevos grupos debe ser constante. En 2024 se ha vuelto a observar que el ‘ransomware’ sigue siendo una de las técnicas más relevantes para cometer los delitos informáticos. Las empresas, como vemos, siguen siendo los principales objetivos, y continuará en 2025 seguro”, valora Hervé Lambert, Global Consumer Operations Manager de Panda Security.

De acuerdo con el informe de Evaluación de la Amenaza del Crimen Organizado en Internet (IOCTA) 2024, los grupos de “ransomware” se dirigen cada vez más a las pequeñas y medianas empresas debido a sus menores capacidades de defensa ante ciberataques. La selección de objetivos también está influenciada por la especialización de los denominados Intermediarios de Acceso Inicial (Initial Access Broker, IAB), que actúan como mediadores para sus clientes, proporcionándoles acceso a los recursos necesarios para llevar a cabo sus acciones.

Además, en cuanto a los esquemas de fraude online y de pagos, el “phishing” persiste como vector de ataque más frecuente, con un elevado número de campañas de phishing contra ciudadanos de la UE, empresas privadas e instituciones públicas.