Operasi ransomware SEXi, yang dikenal menargetkan server VMware ESXi, telah berganti nama dengan nama APT INC dan telah menargetkan banyak organisasi dalam serangan baru-baru ini.
Para pelaku ancaman mulai menyerang organisasi pada bulan Februari 2024 dengan menggunakan enkripsi Babuk yang bocor untuk menargetkan server VMware ESXi dan kebocoran enkripsi LockBit 3 untuk menargetkan Windows.
Para penjahat dunia maya segera mendapatkan perhatian media karena serangan besar-besaran terhadap IxMetro Powerhostpenyedia hosting Chili yang server VMware ESXi-nya dienkripsi dalam serangan tersebut.
Operasi ransomware tersebut diberi nama SEXi berdasarkan nama catatan tebusan SEXi.txt dan ekstensi .SEXi pada nama file yang dienkripsi.
Sumber: BleepingComputer
Peneliti keamanan siber Will Thomas kemudian menemukan varian lain yang menggunakan nama SOCOTRA, FORMOSA, dan LIMPOPO.
Meskipun operasi ransomware ini memanfaatkan enkripsi Linux dan Windows, operasi ini diketahui menargetkan server VMware ESXi.
Berganti nama menjadi APT INC
Sejak Juni, operasi ransomware tersebut telah berganti nama menjadi APT INC, dan peneliti keamanan siber Rivitna mengatakan kepada BleepingComputer bahwa mereka terus menggunakan enkripsi Babuk dan LockBit 3.
Selama dua minggu terakhir, banyak korban APT INC telah menghubungi BleepingComputer atau diposting di forum kami untuk berbagi pengalaman serupa terkait serangan mereka.
Pelaku ancaman memperoleh akses ke server VMware ESXi dan mengenkripsi berkas yang terkait dengan mesin virtual, seperti disk virtual, penyimpanan, dan gambar cadangan. Berkas lain pada sistem operasi tidak dienkripsi.
Setiap korban akan diberi nama acak yang tidak berafiliasi dengan perusahaan. Nama ini digunakan untuk nama catatan tebusan dan ekstensi file terenkripsi.
Sumber: BleepingComputer
Catatan tebusan ini berisi informasi tentang cara menghubungi pelaku ancaman menggunakan aplikasi pesan terenkripsi Session. Perhatikan bagaimana alamat Session 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 sama dengan alamat yang digunakan dalam catatan tebusan SEXi.
BleepingComputer telah mengetahui bahwa tuntutan tebusan bervariasi antara puluhan ribu hingga jutaan, dengan CEO IxMetro Powerhost secara terbuka menyatakan bahwa pelaku ancaman meminta dua bitcoin per pelanggan yang dienkripsi.
Sayangnya, enkripsi Babuk dan LockBit 3 aman dan tidak memiliki kelemahan yang diketahui, jadi tidak ada cara gratis untuk memulihkan file.
Enkripsi Babuk dan LockBit 3 yang bocor telah digunakan untuk memberi daya operasi ransomware barutermasuk APT INC. Enkripsi Babuk yang bocor telah diadopsi secara luas karena mereka menyertakan enkripsi yang menargetkan server VMware ESXi yang banyak digunakan di perusahaan.
