Trong quá trình hunting thông tin các cuộc tấn công của tin tặc trên không gian mạng, đội ngũ FPT Threat Intelligence ghi nhận thông tin các cuộc tấn công nhắm vào máy chủ VMware ESXi sử dụng mã độc tống tiền SEXi đang hoạt động mạnh mẽ trở lại sau khi được đổi tên thành APT INC.
1. Thông tin chi tiết
SEXi ransomware - một loại mã độc tống tiền nhắm mục tiêu vào các máy chủ VMware ESXi, đã đổi tên thành APT INC và tạo ra số lượng lớn các cuộc tấn công nhắm vào nhiều tổ chức lớn trong thời gian gần đây.
Cụ thể, trong tháng 06/2024, diễn đàn của BleepingComputer ghi nhận số lượng lớn các bài đăng từ nạn nhân của mã độc tống tiền này. Bỏ qua các tệp tin trên hệ thống, sau khi chiếm quyền điều khiển các máy chủ ESXi này, tin tặc đã mã hoá toàn bộ các tệp tin có liên quan tới máy ảo như ổ đĩa ảo, kho lưu trữ, các tệp tin dự phòng,...
Mỗi nạn nhân được chỉ định cho một thông điệp ngẫu nhiên trong phần tiện ích ở rộng mã hoá tệp tin. Thông điệp này được sử dụng cho việc định dạng thông tin của nạn nhân, số tiền chuộc phải bỏ ra, thông tin các thành phần bị mã độc mã hoá và một số thông tin khác của nạn nhân. Đáng chú ý trong hình ảnh 1 có xuất hiện đoạn mã 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912
từng xuất hiện trong các ghi chú của mã độc tống tiền SEXi.
Theo nhà nghiên cứu bảo mật Rivitna, những tin tặc đã sử dụng Babuk và LockBit 3.0 làm trình mã hoá cho các cuộc tấn công. Đây là hai trình mã hoá cực kỳ phức tạp, có độ bảo mật cao, cũng như chưa từng có điểm yếu nào của trình mã hoá được tìm ra. Do đó nạn nhân không có lựa chọn nào để giải mã ngoài việc đáp ứng mức tiền chuộc của tin tặc đưa ra.