Търсене
Close this search box.

Операцията SEXi ransomware, известна с атаките си срещу сървъри VMware ESXi, се преименува под името APT INC и при последните си атаки е насочена към множество организации.

Участниците в колектива са започнали да атакуват организации през февруари 2024 г., като са използвали изтеклия криптограф Babuk за насочване към сървъри VMware ESXi и изтеклия криптограф LockBit 3 за насочване към Windows.

Киберпрестъпниците скоро спечелиха медийно внимание заради масирана атака срещу IxMetro Powerhost, чилийски доставчик на хостинг услуги, чиито VMware ESXi сървъри бяха криптирани при атаката.

Рансъмуерът получи името SEXi въз основа на името на бележката за откуп SEXi.txt и разширението .SEXi в имената на криптираните файлове.

По-късно изследователят в областта на киберсигурността Уил Томас откри други варианти, които използват имената SOCOTRA, FORMOSA и LIMPOPO.

Въпреки че операцията  използва криптографски програми както за Linux, така и за Windows, тя е известна с това, че е насочена към сървъри VMware ESXi.

Ребрандира се като APT INC

От юни насам операцията  се ребрандира като APT INC, като изследователят по киберсигурност Rivitna казва , че те продължават да използват крипторите Babuk и LockBit 3.

През последните две седмици многобройни жертви на APT INC във форуми, за да споделят подобен опит във връзка с атаките си.

Извършителите получават достъп до сървърите VMware ESXi и криптират файлове, свързани с виртуалните машини, като например виртуални дискове, хранилища и имиджи на резервни копия. Другите файлове в операционната система не се криптират.

На всяка жертва се присвоява произволно име, което не е свързано с компанията. Това име се използва за имената на бележките за откуп и за разширението на криптирания файл.

Тези бележки за откуп съдържат информация за свързване със заплахата чрез приложението за криптирани съобщения Session. Обърнете внимание как адресът на Session от 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 е същият, който се използва в бележките за откуп на SEXi.

Исканията за откуп варират от десетки хиляди до милиони, като главният изпълнителен директор на IxMetro Powerhost публично заявява, че злосторниците са поискали по два биткойна на криптиран клиент.

За съжаление криптографските програми Babuk и LockBit 3 са защитени и нямат известни слабости, така че няма безплатен начин за възстановяване на файловете.

Изтеклите криптографски програми Babuk и LockBit 3 са използвани за захранване на нови операции с рансъмуер, включително APT INC. Изтеклите шифровачи Babuk са били широко приети, тъй като включват шифровач, който е насочен към сървъри VMware ESXi, които се използват широко в предприятията.

 

Източник: e-security.bg

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
10/10/2024

Нов проект на Google има за...

Днес Google обяви старта на Глобалния...
07/10/2024

MoneyGram: Няма доказателст...

Платформата за разплащания MoneyGram заявява, че...
06/10/2024

Кибератаките в образованиет...

Киберпрестъпниците се насочват към образователните институции,...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!