A operação de ransomware SEXi, conhecida por mirar servidores VMware ESXi, se reinventou sob o nome de APT INC e tem como alvo diversas organizações em ataques recentes.
Os atores de ameaças começaram a atacar organizações em fevereiro de 2024 usando o criptografador vazado do Babuk para mirar servidores VMware ESXi e o criptografador vazado LockBit 3 para mirar o Windows.
Os cibercriminosos logo ganharam a atenção da mídia por um ataque massivo contra a IxMetro Powerhost, uma provedora de hospedagem chilena, cujos servidores VMware ESXi foram criptografados no ataque.
A operação de ransomware foi nomeada SEXi baseada no nome da nota de resgate SEXi.txt e na extensão .SEXi nos nomes dos arquivos criptografados.
O pesquisador de cibersegurança Will Thomas mais tarde encontrou outras variantes que usam os nomes SOCOTRA, FORMOSA e LIMPOPO.
Enquanto a operação de ransomware utiliza criptografadores tanto para Linux quanto para Windows, ela é conhecida por mirar servidores VMware ESXi.
Os atores de ameaças ganham acesso aos servidores VMware ESXi e criptografam arquivos relacionados às máquinas virtuais, como discos virtuais, armazenamento e imagens de backup.
Os outros arquivos no sistema operacional não são criptografados.
Cada vítima receberá um nome aleatório que não é afiliado à empresa.
Esse nome é usado para os nomes das notas de resgate e a extensão dos arquivos criptografados.
Essas notas de resgate contêm informações sobre como contatar os atores de ameaças usando o aplicativo de mensagens criptografadas Session.
Observe como o endereço Session de 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 é o mesmo usado nas notas de resgate SEXi.
As demandas de resgate variam de dezenas de milhares a milhões, com o CEO da IxMetro Powerhost declarando publicamente que os atores de ameaças exigiram dois bitcoins por cliente criptografado.
Infelizmente, os criptografadores Babuk e LockBit 3 são seguros e não possuem fraquezas conhecidas, portanto, não há uma maneira gratuita de recuperar os arquivos.
Os criptografadores vazados Babuk e LockBit 3 foram utilizados para alimentar novas operações de ransomware, incluindo a APT INC.
Os criptografadores vazados do Babuk foram amplamente adotados, já que incluem um criptografador que mira servidores VMware ESXi, que são fortemente utilizados no ambiente empresarial.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...