В апреле этого года компания IxMetro подверглась атаке, в которой использовался все еще новый вариант вымогательского ПО, получивший название "SEXi". Как следует из названия, эта группа нацелена в первую очередь на приложения ESXi. В каждом из случаев, которые мы расследовали, жертвы использовали неподдерживаемые версии ESXi, и существуют различные предположения о первоначальном векторе заражения.
В зависимости от целевой платформы группа использует один из двух типов вымогательских программ: Windows или Linux. Оба образца основаны на просочившихся образцах вымогательского ПО, а именно Babuk для Linux-версии и Lockbit для Windows. Это первый случай, когда группа использует разные варианты ransomware для своих целевых платформ.
Еще одна отличительная черта этой группы - способ контакта. Обычно злоумышленники оставляют записку с адресом электронной почты или URL-адресом сайта утечки, но в данном случае записка содержала идентификатор пользователя, связанный с приложением для обмена сообщениями Session. Этот идентификатор принадлежал злоумышленникам и использовался в разных атаках вымогателей и жертв. Это говорит о недостатке профессионализма, а также о том, что у злоумышленников не было сайта утечки TOR.
Indicators of Compromise
MD5
- 0a16620d09470573eeca244aa852bf70
- 4e39dcfb9913e475f04927e71f38733a
