L’opération de ransomware Sexy, connue pour cibler les serveurs VMware ESXi, a été rebaptisée APT INC et a ciblé de nombreuses organisations lors d’attaques récentes.

Les auteurs de la menace ont commencé à attaquer les organisations en février 2024 en utilisant le chiffrement Babuk divulgué pour cibler les serveurs VMware ESXi et le chiffrement LockBit 3 divulgué pour cibler Windows.

Les cybercriminels ont rapidement attiré l’attention des médias pour une attaque massive contre IxMetro Powerhost, un fournisseur d’hébergement chilien dont les serveurs VMware ESXi ont été cryptés lors de l’attaque.

L’opération de ransomware a reçu le nom Sexy basé sur le SEXi.nom de la note de rançon txt et le .Extension sexy dans les noms des fichiers cryptés.

Note de rançon sexy

Le chercheur en cybersécurité Will Thomas a découvert plus tard d’autres variantes qui utilisent les noms SOCOTRA, FORMOSA et LIMPOPO.

Bien que l’opération de ransomware utilise à la fois des chiffreurs Linux et Windows, elle est connue pour cibler les serveurs VMware ESXi.

Rebaptisée APT INC
Depuis juin, l’opération de ransomware a été rebaptisée APT INC, le chercheur en cybersécurité Rivitna disant à Breachtrace qu’ils continuent d’utiliser les chiffreurs Babuk et LockBit 3.

Au cours des deux dernières semaines, de nombreuses victimes d’APT INC ont contacté Breachtrace ou posté sur nos forums pour partager des expériences similaires concernant leurs attaques.

Les auteurs de la menace accèdent aux serveurs VMware ESXi et chiffrent les fichiers liés aux machines virtuelles, tels que les disques virtuels, le stockage et les images de sauvegarde. Les autres fichiers du système d’exploitation ne sont pas cryptés.

Chaque victime se verra attribuer un nom aléatoire qui n’est pas affilié à l’entreprise. Ce nom est utilisé pour les noms des demandes de rançon et l’extension de fichier cryptée.

Demande de rançon APT INC

Ces notes de rançon contiennent des informations sur la manière de contacter les acteurs de la menace à l’aide de l’application de messagerie cryptée de session. Notez que l’adresse de session de 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 est la même que celle utilisée dans les notes de rançon SEXi.

Breachtrace a appris que les demandes de rançon varient entre des dizaines de milliers et des millions, le PDG d’Ix Metro Powerhost déclarant publiquement que les acteurs de la menace exigeaient deux bitcoins par client crypté.

Malheureusement, les chiffreurs Babuk et Lock Bit 3 sont sécurisés et n’ont aucune faiblesse connue, il n’y a donc aucun moyen gratuit de récupérer des fichiers.

Les chiffreurs Babuk et LockBit 3 divulgués ont été utilisés pour alimenter de nouvelles opérations de ransomware, y compris APT INC. Les chiffreurs Babuk divulgués ont été largement adoptés car ils incluent un chiffreur qui cible les serveurs VMware ESXi, qui est fortement utilisé dans l’entreprise.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *