Hacker en costume

L'opération de ransomware SEXi, connue pour cibler les serveurs VMware ESXi, a été rebaptisée APT INC et a ciblé de nombreuses organisations lors d'attaques récentes.

Les acteurs de la menace ont commencé à attaquer les organisations en février 2024 en utilisant le crypteur Babuk divulgué pour cibler les serveurs VMware ESXi et le crypteur LockBit 3 divulgué pour cibler Windows.

Les cybercriminels ont rapidement attiré l'attention des médias pour une attaque massive contre IxMetro Powerhost, un fournisseur d'hébergement chilien dont les serveurs VMware ESXi ont été cryptés lors de l'attaque.

L'opération de ransomware a été baptisée SEXi en raison du nom de la note de rançon SEXi.txt et de l'extension .SEXi dans les noms des fichiers cryptés.

Publicité
Demande de rançon pour SEXi
Demande de rançon pour SEXi Source : BleepingComputer

Chercheur en cybersécurité Will Thomas a été retrouvé plus tard d'autres variantes qui utilisent les noms SOCOTRA, FORMOSA et LIMPOPO.

Bien que l’opération de ransomware utilise à la fois des crypteurs Linux et Windows, elle est connue pour cibler les serveurs VMware ESXi.

Rebaptisé APT INC

Depuis juin, l'opération de ransomware a été rebaptisée APT INC, le chercheur en cybersécurité Rivitna ayant déclaré à BleepingComputer qu'ils continuaient à utiliser les crypteurs Babuk et LockBit 3.

Au cours des deux dernières semaines, de nombreuses victimes d'APT INC ont contacté BleepingComputer ou publié sur nos forums pour partager des expériences similaires concernant leurs attaques.

Les acteurs malveillants accèdent aux serveurs VMware ESXi et chiffrent les fichiers liés aux machines virtuelles, tels que les disques virtuels, le stockage et les images de sauvegarde. Les autres fichiers du système d'exploitation ne sont pas chiffrés.

Chaque victime se verra attribuer un nom aléatoire qui n'est pas affilié à l'entreprise. Ce nom est utilisé pour les noms des demandes de rançon et l'extension du fichier crypté.

Demande de rançon d'APT INC
Demande de rançon d'APT INC Source : BleepingComputer

Ces notes de rançon contiennent des informations sur la manière de contacter les acteurs de la menace à l'aide de l'application de messagerie chiffrée Session. Notez que l'adresse de session 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 est la même que celle utilisée dans les notes de rançon SEXi.

BleepingComputer a appris que les demandes de rançon varient entre des dizaines de milliers et des millions, le PDG d'IxMetro Powerhost déclarant publiquement que les acteurs de la menace exigeaient deux bitcoins par client crypté.

Malheureusement, les crypteurs Babuk et LockBit 3 sont sécurisés et ne présentent aucune faiblesse connue, il n'existe donc aucun moyen gratuit de récupérer des fichiers.

Les chiffreurs Babuk et LockBit 3 divulgués ont été utilisés pour alimenter de nouvelles opérations de ransomware, notamment APT INC. Les chiffreurs Babuk divulgués ont été largement adoptés car ils incluent un chiffreur qui cible les serveurs VMware ESXi, qui sont largement utilisés dans l'entreprise.

flare 400
5/5 - (301 votes)
Publicité
Article précédentNokia s'associe à Telecom Egypt pour lancer la 5G dans le pays
Article suivantÉconomisez gros avec les jours d’offre Disrupt 2024
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici