De ransomware-operatie SEXi, bekend om het targeten van VMware ESXi-servers, heeft zich hernoemd onder de naam APT INC en heeft talloze organisaties getroffen in recente aanvallen.

De dreigingsacteurs begonnen in februari 2024 organisaties aan te vallen door gebruik te maken van de gelekte Babuk-encryptor om VMware ESXi-servers en de gelekte LockBit 3-encryptor om Windows te targeten.

De cybercriminelen kregen al snel mediabelangstelling vanwege een enorme aanval op IxMetro Powerhost, een Chileense hostingprovider wiens VMware ESXi-servers versleuteld waren tijdens de aanval.

De ransomware-operatie werd SEXi genoemd op basis van de naam van het losgeldbriefje SEXi.txt en de .SEXi-extensie in de namen van versleutelde bestanden.

Cybersecurity-onderzoeker Will Thomas ontdekte later andere varianten die de namen SOCOTRA, FORMOSA en LIMPOPO gebruiken.

Hoewel de ransomware-operatie zowel Linux- als Windows-encryptors gebruikt, staat het bekend om het targeten van VMware ESXi-servers.

Hernoemd naar APT INC

Sinds juni heeft de ransomware-operatie zich hernoemd naar APT INC, waarbij cybersecurity-onderzoeker Rivitna aan BleepingComputer vertelde dat ze nog steeds de Babuk- en LockBit 3-encryptors gebruiken.

De afgelopen twee weken hebben talrijke slachtoffers van APT INC contact opgenomen met BleepingComputer of gepost in onze forums om soortgelijke ervaringen betreffende hun aanvallen te delen.

De dreigingsacteurs krijgen toegang tot de VMware ESXi-servers en versleutelen bestanden gerelateerd aan de virtuele machines, zoals virtuele schijven, opslag en back-up afbeeldingen. De andere bestanden op het besturingssysteem worden niet versleuteld.

Elke slachtoffer krijgt een willekeurige naam toegewezen die niet is verbonden aan het bedrijf. Deze naam wordt gebruikt voor de namen van het losgeldbriefje en de extensie van de versleutelde bestanden.

Deze losgeldbriefjes bevatten informatie over hoe de dreigingsacteurs kunnen worden gecontacteerd via de versleutelde berichtentoepassing Session. Let op hoe het Session-adres van 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 hetzelfde is als dat in de SEXi losgeldbriefjes.

BleepingComputer heeft vernomen dat de losgeldeisen variëren tussen de tienduizenden en miljoenen, waarbij de CEO van IxMetro Powerhost publiekelijk verklaarde dat de dreigingsacteurs twee bitcoins per versleutelde klant eisten.

Helaas zijn de Babuk- en LockBit 3-encryptors veilig en hebben ze geen bekende zwakheden, dus er is geen gratis manier om bestanden te herstellen.

De gelekte Babuk- en LockBit 3-encryptors zijn gebruikt om nieuwe ransomware-operaties aan te drijven, waaronder APT INC. De gelekte Babuk-encryptors zijn wijdverbreid geadopteerd omdat ze een encryptor bevatten die VMware ESXi-servers target, wat zwaar wordt gebruikt in het bedrijfsleven.