Το SEXi ransomware φαίνεται πως μετονομάστηκε σε APT INC, αλλά συνεχίζει να στοχεύει VMware ESXi servers και έχει επιτεθεί σε πολλούς οργανισμούς πρόσφατα.
Οι hackers πίσω από το ransomware άρχισαν να επιτίθενται σε οργανισμούς τον Φεβρουάριο του 2024 χρησιμοποιώντας το Babuk encryptor (που είχε διαρρεύσει), για να στοχεύσει VMware ESXi servers και τον LockBit 3 encryptor (που είχε, επίσης διαρρεύσει) για να στοχεύσει τα Windows.
Οι κυβερνοεγκληματίες κέρδισαν σύντομα την προσοχή των μέσων ενημέρωσης, λόγω μιας επίθεσης στην IxMetro Powerhost, έναν hosting provider της Χιλής.
Στη λειτουργία ransomware δόθηκε το όνομα SEXi, με βάση το όνομα του σημειώματος λύτρων SEXi.txt και την επέκταση .SEXi στα ονόματα των κρυπτογραφημένων αρχείων.
Ο ερευνητής κυβερνοασφάλειας Will Thomas βρήκε αργότερα άλλες παραλλαγές που χρησιμοποιούν τα ονόματα SOCOTRA, FORMOSA και LIMPOPO.
Δείτε επίσης: Το BianLian Ransomware εκμεταλλεύεται τα διαπιστευτήρια RDP
Το SEXi ransomware μετονομάζεται σε APT INC
Από τον Ιούνιο 2024, η λειτουργία ransomware μετονομάστηκε σε APT INC, αλλά φαίνεται ότι οι hackers συνεχίζουν να χρησιμοποιούν τους Babuk και LockBit 3 encryptors.
Τις τελευταίες δύο εβδομάδες, πολλά θύματα του APT INC έχουν μοιραστεί δημόσια τις εμπειρίες σχετικά με τις επιθέσεις.
Πώς γίνεται η επίθεση;
Οι hackers αποκτούν πρόσβαση στους VMware ESXi servers και κρυπτογραφούν αρχεία που σχετίζονται με τα virtual machines (π.χ. virtual disks, storage και backup images). Τα άλλα αρχεία στο λειτουργικό σύστημα δεν κρυπτογραφούνται.
Σε κάθε θύμα εκχωρείται ένα τυχαίο όνομα που δεν είναι συνδεδεμένο με την εταιρεία. Αυτό το όνομα χρησιμοποιείται για τα ονόματα των σημειώσεων λύτρων και την κρυπτογραφημένη επέκταση αρχείου.
Όπως συνηθίζεται, τα σημειώματα λύτρων περιέχουν πληροφορίες σχετικά με την επικοινωνία για τη διαπραγμάτευση των λύτρων. Η επικοινωνία γίνεται μέσω της εφαρμογής ανταλλαγής μηνυμάτων Session. Το Session address 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 είναι ίδιο με αυτό που χρησιμοποιείται στα σημειώματα λύτρων SEXi.
Δείτε επίσης: Η Rite Aid επιβεβαιώνει παραβίαση δεδομένων μετά την επίθεση ransomware
Τα λύτρα φαίνεται να ποικίλλουν μεταξύ δεκάδων χιλιάδων και εκατομμυρίων δολαρίων. Προφανώς εξαρτάται από το θύμα και πόσα μπορεί να δώσει.
Δυστυχώς, οι κρυπτογραφητές Babuk και LockBit 3 δεν έχουν γνωστές αδυναμίες, επομένως δεν υπάρχει δωρεάν τρόπος ανάκτησης αρχείων.
Οι κρυπτογραφητές Babuk και LockBit 3, που διέρρευσαν, έχουν χρησιμοποιηθεί για την τροφοδοσία νέων λειτουργιών ransomware, συμπεριλαμβανομένου του APT INC.
Προστασία από ransomware
Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Δείτε επίσης: HardBit Ransomware 4.0: Νέες τεχνικές αποφυγής εντοπισμού
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com
