Hacker in a suit

VMwareのESXiサーバーを標的にしたことで知られるランサムウェア「SEXi」は、APT INCの名で再ブランド化し、最近の攻撃で多くの組織を標的にしている。

脅威行為者は2024年2月、VMware ESXiサーバを標的にするために流出したBabuk暗号化ツールを使用し、Windowsを標的にするために流出したLockBit 3暗号化ツールを使用して組織への攻撃を開始しました。

このサイバー犯罪者は間もなく、VMware ESXiサーバーが暗号化されたチリのホスティング・プロバイダー、IxMetro Powerhostに対する大規模な攻撃でメディアの注目を集めました。

このランサムウェア作戦は、SEXi.txtというランサムノート名と、暗号化されたファイル名の拡張子.SEXiから、SEXiという名前が付けられました。

SEXi ransom note
SEXi ランサムノート
ソースは こちら:

サイバーセキュリティ研究者のウィル・トーマスは、後にSOCOTRA、FORMOSA、LIMPOPOという名前を使用する他の亜種を発見した。

このランサムウェアは、LinuxとWindowsの両方の暗号化ツールを利用していますが、VMware ESXiサーバーを標的としていることで知られています。

APT INCに改名

6月以降、このランサムウェア作戦はAPT INCとしてリブランディングしており、サイバーセキュリティ研究者のRivitna氏によると、彼らは引き続きBabukとLockBit 3暗号化ツールを使用しているとのことです。

過去2週間にわたり、多数のAPT INCの被害者が、攻撃に関する同様の経験を共有するために、私たちのフォーラムに連絡したり投稿したりしています。

脅威者はVMware ESXiサーバにアクセスし、仮想ディスク、ストレージ、バックアップイメージなど、仮想マシンに関連するファイルを暗号化します。 オペレーティングシステム上の他のファイルは暗号化されません。

各被害者には、会社とは関係のないランダムな名前が割り当てられます。この名前は、ランサムノートの名前や暗号化されたファイルの拡張子に使用されます。

APT INC ransom note
APT INC 身代金要求書
ソースは こちら:

これらの身代金要求ノートには、Session 暗号化メッセージング・アプリケーションを使用して脅威行為者に連絡するための情報が含まれています。05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912のSessionアドレスが、SEXiのランサムノートで使用されているものと同じであることに注意してください。

IxMetro Powerhost の CEO は、脅迫者は暗号化された顧客一人につき2ビットコインを要求したと公言しています。

残念ながら、Babuk と LockBit 3 の暗号化ソフトは安全で、弱点が知られていないため、ファイルを復元する自由な方法はありません。

流出したBabukおよびLockBit 3暗号化プログラムは、APT INC.を含む新たなランサムウェアの操作に使用されている。流出したBabuk暗号化プログラムは、企業で多用されているVMware ESXiサーバーを標的とする暗号化プログラムを含んでいるため、広く採用されている。