La operación de ransomware SEXi, conocida por apuntar a servidores VMware
ESXi, ha cambiado su nombre a APT INC y se ha dirigido a numerosas
organizaciones en ataques recientes.
Los actores de amenazas comenzaron a atacar organizaciones en febrero de 2024
utilizando el
cifrado filtrado del ransomware Babuk
para apuntar a servidores VMware ESXi y el cifrado
filtrado de LockBit 3
que apunta a Windows.
Los ciberdelincuentes pronto atrajeron la atención de los medios por un
ataque masivo a IxMetro Powerhost, un proveedor de hosting chileno cuyos servidores VMware ESXi fueron
cifrados en el ataque.
La operación de ransomware recibió el nombre SEXi según el nombre de la nota
de rescate SEXi.txt y la extensión .SEXi en los nombres de los
archivos cifrados.
El investigador de ciberseguridad
Will Thomas encontró
más tarde otras variantes que usan los nombres SOCOTRA, FORMOSA y LIMPOPO.
Si bien la operación de ransomware utiliza cifradores de Linux y Windows, es
conocida por apuntar a servidores VMware ESXi.
Desde junio, la operación de ransomware pasó a llamarse APT INC, y el
investigador de ciberseguridad Rivitna le dijo a BleepingComputer que
continúan usando los cifrados Babuk y LockBit 3. Durante las últimas dos
semanas, numerosas
víctimas de APT INC se comunicaron con BleepingComputer
o
publicaron experiencias en el foro.
Los actores de amenazas obtienen acceso a los servidores VMware ESXi y
cifran archivos relacionados con las máquinas virtuales, como discos
virtuales, almacenamiento e imágenes de respaldo. Los demás archivos del
sistema operativo no están cifrados.
A cada víctima se le asigna un nombre aleatorio que no esté afiliado a la
empresa. Este nombre se utiliza para los nombres de las notas de rescate y la
extensión del archivo cifrado. Estas notas de rescate contienen información
sobre cómo contactar a los actores de amenazas utilizando la aplicación de
mensajería cifrada Session. Tenga en cuenta que la dirección de sesión (por
ejemplo, 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912)
es la misma que se usa en las notas de rescate de SEXi.
Las demandas de rescate varían entre decenas de miles y millones, y el
director ejecutivo de IxMetro Powerhost declaró públicamente que los actores
de amenazas exigieron dos bitcoins por cada cliente cifrado.
Desafortunadamente, los cifradores Babuk y LockBit 3 son seguros y no
tienen debilidades conocidas, por lo que no existe una forma gratuita de
recuperar archivos. Los cifradores Babuk y LockBit 3 filtrados se han utilizado para
impulsar nuevas operaciones de ransomware, incluido APT INC. Los
cifradores Babuk filtrados se han adoptado ampliamente, ya que incluyen un cifrado dirigido a servidores VMware ESXi, que se
utiliza mucho en la empresa.
Fuente:
BC
Los comentarios están cerrados.