Operațiunea SEXi ransomware, cunoscută pentru vizarea serverelor VMware ESXi, s-a rebranduit sub numele de APT INC și a vizat numeroase organizații în atacurile recente.
Actorii de amenințare au început să atace organizațiile în februarie 2024 folosind encryptorul Babuk pentru a vizate serverele VMware ESXi și encryptorul LockBit 3 pentru a vizate sistemele Windows.
Criminalii cibernetici au atras curând atenția mass-media printr-un atac masiv asupra IxMetro Powerhost, un furnizor de găzduire din Chile ale cărui servere VMware ESXi au fost encryptate în atac.
Operațiunea ransomware a primit numele SEXi pe baza numelui notei de răscumpărare SEXi.txt și a extensiei .SEXi din numele fișierelor encryptate.
Cercetătorul în securitate cibernetică Will Thomas a descoperit ulterior alte variante care folosesc numele SOCOTRA, FORMOSA și LIMPOPO.
În timp ce operațiunea ransomware utilizează atât encryptori Linux, cât și Windows, este cunoscută pentru vizarea serverelor VMware ESXi.
Din iunie, operațiunea ransomware s-a rebranduit sub numele de APT INC, cu cercetătorul în securitate cibernetică Rivitna spunându-le celor de la BleepingComputer că continuă să folosească encryptorii Babuk și LockBit 3.
În ultimele două săptămâni, numeroși victime APT INC au contactat BleepingComputer sau au postat pe forumurile noastre pentru a împărtăși experiențe similare legate de atacurile lor.
Actorii de amenințare obțin acces la serverele VMware ESXi și encryptează fișierele legate de mașinile virtuale, cum ar fi discurile virtuale, stocarea și imaginile de backup. Celelalte fișiere din sistemul de operare nu sunt encryptate.
Fiecare victimă va primi un nume aleatoriu care nu este afiliat companiei. Acest nume este folosit pentru numele notelor de răscumpărare și pentru extensia fișierelor encryptate.
Aceste note de răscumpărare conțin informații despre cum să contactați actorii de amenințare folosind aplicația de mesagerie criptată Session. Observați cum adresa Session 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 este aceeași folosită în notele de răscumpărare SEXi.
BleepingComputer a aflat că cererile de răscumpărare variază între zeci de mii și milioane de dolari, cu CEO-ul IxMetro Powerhost declarând public că actorii de amenințare au cerut două bitcoini per client encryptat.
Din păcate, encryptorii Babuk și LockBit 3 sunt siguri și nu au nicio vulnerabilitate cunoscută, așa că nu există o modalitate gratuită de recuperare a fișierelor.
Encryptorii Babuk și LockBit 3 scăpați au fost folosiți pentru a alimenta noi operațiuni de ransomware, inclusiv APT INC. Encryptorii Babuk scăpați au fost larg adoptați deoarece includ un encryptor care vizează serverele VMware ESXi, care sunt utilizate intens în mediul de afaceri.
Versiunea Linux a ransomware-ului RansomHub vizează mașinile virtuale VMware ESXi
Versiunea Linux a ransomware-ului TargetCompany se concentrează pe VMware ESXi
Rite Aid confirmă încălcarea datelor după atacul de ransomware din iunie
ARRL confirmă în cele din urmă că grupul de ransomware a furat datele în cadrul unui atac cibernetic
Dallas County: Datele a 200.000 de persoane expuse în atacul de ransomware din 2023
Leave a Reply