SEXi: il ransomware cambia nome in APT INC

L'operazione ransomware SEXi, nota per aver preso di mira i server VMware ESXi, è stata rinominata APT INC e ha preso di mira numerose organizzazioni negli ultimi attacchi. Gli autori delle minacce hanno iniziato ad attaccare le organizzazioni nel febbraio 2024. Questi hanno utilizzando il sistema di crittografia Babuk trapelato per prendere di mira i server VMware ESXi. Inoltre, hanno usato il sistema di crittografia LockBit 3 trapelato per prendere di mira Windows. I criminali informatici hanno presto attirato l’attenzione dei media per un massiccio attacco contro IxMetro Powerhost. Si tratta di un provider di hosting cileno i cui server VMware ESXi sono stati crittografati nell’attacco. All'operazione ransomware è stato assegnato il nome SEXi in base al nome della richiesta di riscatto SEXi.txt e all'estensione .SEXi nei nomi dei file crittografati.

Il ricercatore di sicurezza informatica Will Thomas ha successivamente scoperto altre varianti che utilizzano i nomi SOCOTRA, FORMOSA e LIMPOPO. Sebbene l'operazione ransomware utilizzi sia crittografi Linux che Windows, è nota per prendere di mira i server VMware ESXi.

SEXi: come avviene l’attacco ransomware

Da giugno, SEXi è stata rinominato APT INC e continua a utilizzare i crittografi Babuk e LockBit 3. Gli hacker ottengono l'accesso ai server VMware ESXi e crittografano i file relativi alle macchine virtuali. Questi includono dischi virtuali, spazio di archiviazione e immagini di backup. Gli altri file sull’OS non sono crittografati. A ciascuna vittima viene assegnato un nome casuale non affiliato all'azienda. Questo nome viene usato pe le richieste di riscatto e l'estensione del file crittografato. Queste richieste di riscatto contengono informazioni su come contattare gli autori delle minacce utilizzando l'applicazione di messaggistica crittografata Session. Da notare come l'indirizzo di sessione di 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 è lo stesso utilizzato nelle note di riscatto di SEXi. Come rivelato da BleepingComputer, le richieste di riscatto variano da decine di migliaia a milioni di dollari. Il CEO di IxMetro Powerhost, Adriao Schulz, inoltre dichiarato che gli hacker chiedevano due bitcoin per cliente crittografato.

Sfortunatamente, i crittografi Babuk e LockBit 3 sono sicuri e non presentano punti deboli noti. Ciò significa che non esiste un modo gratuito per recuperare i file. I crittografi Babuk e LockBit 3 trapelati sono stati utilizzati per alimentare nuove operazioni ransomware, tra cui APT INC. I crittografi Babuk trapelati sono stati ampiamente adottati poiché includono un crittografo che prende di mira i server VMware ESXi, ampiamente utilizzati nelle aziende.