آبان ۲۸, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

باج افزار APT INC همچنان به حملات به VMware ESXi ادامه می‌دهد.

عملیات باج افزار SEXi که به دلیل هدف قرار دادن سرورهای VMware ESXi شناخته می شود، تحت نام APT INC تغییر نام داد و در حملات اخیر سازمان های متعددی را هدف قرار داده است.

هکرها از فوریه ۲۰۲۴ شروع به حمله به سازمان‌ها کرده‌اند و از encryptor  فاش‌شده‌ی Babuk برای هدف‌قرار دادن سرورهای VMware ESXi و از encryptor  فاش‌شده‌ی LockBit 3 برای هدف‌قرار دادن ویندوز استفاده کرده‌اند.

مجرمان سایبری به زودی به خاطر حمله‌ی گسترده‌ای که به IxMetro Powerhost، یک ارائه‌دهنده خدمات میزبانی در شیلی، انجام دادند و در آن سرورهای VMware ESXi این شرکت رمزگذاری شد، توجه رسانه‌ها را به خود جلب کردند.

عملیات باج‌افزار بر اساس نام یادداشت باج‌خواهی SEXi.txt و پسوند .SEXi در نام فایل‌های رمزگذاری شده، نام SEXi را به خود گرفت.

Will Thomas محقق امنیت سایبری بعدها انواع دیگری را یافت که از نام‌های SOCOTRA، FORMOSA و LIMPOPO استفاده می‌کنند.

در حالی که عملیات باج‌افزار از رمزگذارهای لینوکس و ویندوز استفاده می‌کند، به هدف قرار دادن سرورهای VMware ESXi معروف است.

تغییر نام تجاری به APT INC

از ماه ژوئن، عملیات باج‌افزار با نام APT INC تغییر برند داده است و محقق امنیت سایبری Rivitna  اعلام کرد که آن‌ها همچنان از رمزگذارهای Babuk و LockBit 3 استفاده می‌کنند.

در طول دو هفته گذشته، قربانیان متعددی از APT INC با BleepingComputer تماس گرفته یا در انجمن‌های ما پست گذاشته‌اند تا تجربیات مشابه خود را در مورد حملاتشان به اشتراک بگذارند.

هکرها به سرورهای VMware ESXi دسترسی پیدا می‌کنند و فایل‌های مربوط به ماشین‌های مجازی مانند دیسک‌های مجازی، ذخیره‌سازی و تصاویر پشتیبان را رمزگذاری می‌کنند.

به هر قربانی یک نام تصادفی اختصاص داده خواهد شد که با شرکت مرتبط نیست. این نام برای نام‌های یادداشت باج‌خواهی و پسوند فایل‌های رمزگذاری شده استفاده می‌شود.

این یادداشت‌های باج‌خواهی حاوی اطلاعاتی درباره تماس با هکرها با استفاده از برنامه پیام‌رسان رمزگذاری‌شده Session هستند. توجه کنید که چگونه آدرس Session به شماره ۰۵c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 همان آدرسی است که در یادداشت‌های باج‌خواهی SEXi استفاده شده است.

محققان امنیتی دریافته اند که درخواست‌های باج بین ده‌ها هزار تا میلیون‌ها دلار متغیر است و مدیر عامل  IxMetro Powerhost به طور عمومی اعلام کرده که عاملان تهدید برای هر مشتری رمزگذاری شده دو بیت‌کوین درخواست کرده‌اند.

متاسفانه نرم‌افزارهای رمزگذاری Babuk و LockBit 3 بسیار امن هستند و هیچ ضعف شناخته‌شده‌ای ندارند. بنابراین، هیچ راه رایگانی برای بازیابی فایل‌های رمزگذاری‌شده توسط این نرم‌افزارها وجود ندارد.

نسخه‌های درز کرده از نرم‌افزارهای رمزگذاری Babuk و LockBit 3 برای عملیات جدید باج‌افزار، از جمله APT INC، مورد استفاده قرار گرفته‌اند. زیرا شامل یک رمزگذار هستند که سرورهای VMware ESXi را هدف قرار می‌دهد؛ سرورهایی که به طور گسترده در محیط‌های سازمانی استفاده می‌شوند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب