Recientemente, se ha observado un cambio significativo en el panorama del ransomware. El notorio ransomware SEXI ha adoptado una nueva identidad bajo el nombre APT Inc, pero su objetivo sigue siendo el mismo: los servidores VMware ESXi. Esta transformación no es solo un cambio de nombre, sino una evolución estratégica que refleja las tácticas sofisticadas y adaptativas de los ciberdelincuentes.
La operación de ransomware conocida como SEXI, famosa por sus ataques a servidores VMware ESXi, ha adoptado un nuevo nombre: APT Inc. En ataques recientes, este grupo ha afectado a numerosas organizaciones.
Desde febrero de 2024, estos actores de amenazas han estado utilizando el cifrador filtrado Babuk para atacar servidores VMware ESXi y el cifrador filtrado LockBit 3 para atacar sistemas Windows. Los ciberdelincuentes captaron rápidamente la atención de los medios tras un ataque masivo a IxMetro Powerhost, un proveedor de alojamiento chileno, cuyo sistema VMware ESXi fue encriptado durante el incidente.
Aunque esta operación de ransomware utiliza cifradores para Linux y Windows, es especialmente conocida por sus ataques a servidores VMware ESXi. El nombre SEXI proviene de la nota de rescate SEXi.txt y de la extensión .SEXi que se añade a los archivos cifrados.
Conoce más sobre: Nuevo Ransomware SEXi: Amenaza para los Servidores VMware ESXi
Cambio de nombre a APT INC
Desde junio, la operación de ransomware ha adoptado el nombre APT INC, continuando con el uso de los cifradores Babuk y LockBit 3. En las últimas dos semanas, varias víctimas de APT INC han compartido sus experiencias sobre los ataques sufridos, describiendo patrones similares.
Los ciberdelincuentes logran acceder a los servidores VMware ESXi y cifran archivos relacionados con las máquinas virtuales, como discos virtuales, almacenamiento e imágenes de respaldo, dejando sin tocar los archivos del sistema operativo.
A cada víctima se le asigna un nombre aleatorio no vinculado a la empresa afectada. Este nombre se utiliza tanto en las notas de rescate como en la extensión de los archivos cifrados. Las notas de rescate incluyen instrucciones sobre cómo contactar a los atacantes a través de la aplicación de mensajería cifrada Session. La dirección de Session (05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 ) utilizada es la misma que en las notas de rescate de SEXI.
Las demandas de rescate oscilan entre decenas de miles y millones de dólares. Por ejemplo, el CEO de IxMetro Powerhost informó que los atacantes exigieron dos bitcoins por cada cliente afectado. Lamentablemente, los cifradores Babuk y LockBit 3 son altamente seguros y no presentan vulnerabilidades conocidas, por lo que no existe una solución gratuita para recuperar los archivos cifrados.
Estos cifradores filtrados han sido clave en el desarrollo de nuevas operaciones de ransomware, incluida APT INC. Los cifradores Babuk, en particular, han sido ampliamente adoptados debido a su efectividad en atacar servidores VMware ESXi, una plataforma común en entornos empresariales.
Te podría interesar leer: Detección de Ataques de Ransomware con Wazuh
Conclusión
El cambio de nombre del ransomware SEXi a APT Inc y su persistente enfoque en VMware ESXi destacan la importancia de estar siempre alerta y preparados en el ámbito de ciberseguridad. A medida que los atacantes refinan sus tácticas, nuestras defensas también deben evolucionar. La implementación de una combinación de medidas preventivas y reactivas, junto con una cultura sólida de seguridad, es esencial para mitigar riesgos y proteger a las organizaciones de estos devastadores ataques. Estar al tanto de las últimas tendencias y tácticas de ciberseguridad es fundamental para anticipar y contrarrestar amenazas emergentes.