Ransomware SEXi passa a se chamar APT INC
16 de Julho de 2024

A operação de ransomware SEXi, conhecida por mirar servidores VMware ESXi, se reinventou sob o nome de APT INC e tem como alvo diversas organizações em ataques recentes.

Os atores de ameaças começaram a atacar organizações em fevereiro de 2024 usando o criptografador vazado do Babuk para mirar servidores VMware ESXi e o criptografador vazado LockBit 3 para mirar o Windows.

Os cibercriminosos logo ganharam a atenção da mídia por um ataque massivo contra a IxMetro Powerhost, uma provedora de hospedagem chilena, cujos servidores VMware ESXi foram criptografados no ataque.

A operação de ransomware foi nomeada SEXi baseada no nome da nota de resgate SEXi.txt e na extensão .SEXi nos nomes dos arquivos criptografados.

O pesquisador de cibersegurança Will Thomas mais tarde encontrou outras variantes que usam os nomes SOCOTRA, FORMOSA e LIMPOPO.

Enquanto a operação de ransomware utiliza criptografadores tanto para Linux quanto para Windows, ela é conhecida por mirar servidores VMware ESXi.

Os atores de ameaças ganham acesso aos servidores VMware ESXi e criptografam arquivos relacionados às máquinas virtuais, como discos virtuais, armazenamento e imagens de backup.

Os outros arquivos no sistema operacional não são criptografados.

Cada vítima receberá um nome aleatório que não é afiliado à empresa.

Esse nome é usado para os nomes das notas de resgate e a extensão dos arquivos criptografados.

Essas notas de resgate contêm informações sobre como contatar os atores de ameaças usando o aplicativo de mensagens criptografadas Session.

Observe como o endereço Session de 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 é o mesmo usado nas notas de resgate SEXi.

As demandas de resgate variam de dezenas de milhares a milhões, com o CEO da IxMetro Powerhost declarando publicamente que os atores de ameaças exigiram dois bitcoins por cliente criptografado.

Infelizmente, os criptografadores Babuk e LockBit 3 são seguros e não possuem fraquezas conhecidas, portanto, não há uma maneira gratuita de recuperar os arquivos.

Os criptografadores vazados Babuk e LockBit 3 foram utilizados para alimentar novas operações de ransomware, incluindo a APT INC.

Os criptografadores vazados do Babuk foram amplamente adotados, já que incluem um criptografador que mira servidores VMware ESXi, que são fortemente utilizados no ambiente empresarial.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...