Операцията SEXi ransomware, известна с атаките си срещу сървъри VMware ESXi, се преименува под името APT INC и при последните си атаки е насочена към множество организации.
Участниците в колектива са започнали да атакуват организации през февруари 2024 г., като са използвали изтеклия криптограф Babuk за насочване към сървъри VMware ESXi и изтеклия криптограф LockBit 3 за насочване към Windows.
Киберпрестъпниците скоро спечелиха медийно внимание заради масирана атака срещу IxMetro Powerhost, чилийски доставчик на хостинг услуги, чиито VMware ESXi сървъри бяха криптирани при атаката.
Рансъмуерът получи името SEXi въз основа на името на бележката за откуп SEXi.txt и разширението .SEXi в имената на криптираните файлове.
По-късно изследователят в областта на киберсигурността Уил Томас откри други варианти, които използват имената SOCOTRA, FORMOSA и LIMPOPO.
Въпреки че операцията използва криптографски програми както за Linux, така и за Windows, тя е известна с това, че е насочена към сървъри VMware ESXi.
От юни насам операцията се ребрандира като APT INC, като изследователят по киберсигурност Rivitna казва , че те продължават да използват крипторите Babuk и LockBit 3.
През последните две седмици многобройни жертви на APT INC във форуми, за да споделят подобен опит във връзка с атаките си.
Извършителите получават достъп до сървърите VMware ESXi и криптират файлове, свързани с виртуалните машини, като например виртуални дискове, хранилища и имиджи на резервни копия. Другите файлове в операционната система не се криптират.
На всяка жертва се присвоява произволно име, което не е свързано с компанията. Това име се използва за имената на бележките за откуп и за разширението на криптирания файл.
Тези бележки за откуп съдържат информация за свързване със заплахата чрез приложението за криптирани съобщения Session. Обърнете внимание как адресът на Session от 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 е същият, който се използва в бележките за откуп на SEXi.
Исканията за откуп варират от десетки хиляди до милиони, като главният изпълнителен директор на IxMetro Powerhost публично заявява, че злосторниците са поискали по два биткойна на криптиран клиент.
За съжаление криптографските програми Babuk и LockBit 3 са защитени и нямат известни слабости, така че няма безплатен начин за възстановяване на файловете.
Изтеклите криптографски програми Babuk и LockBit 3 са използвани за захранване на нови операции с рансъмуер, включително APT INC. Изтеклите шифровачи Babuk са били широко приети, тъй като включват шифровач, който е насочен към сървъри VMware ESXi, които се използват широко в предприятията.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.