APT INC resurge como rebranding del ransomware SEXi, poniendo en riesgo a instituciones educativas mexicanas ante inminentes ciberataques


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

Según un análisis realizado por diversas consultoras, incluida la unidad de investigación de SILIKN, se ha informado que el grupo responsable de la operación de ransomware SEXi, conocido por atacar servidores VMware ESXi, ha cambiado su nombre a APT INC y ha vulnerado a numerosas organizaciones en ataques recientes.

APT INC inició sus ataques a organizaciones en febrero de 2024, utilizando el cifrador filtrado Babuk para comprometer servidores VMware ESXi y el cifrador filtrado LockBit 3 para atacar sistemas Windows.

Los cibercriminales captaron rápidamente la atención de los medios tras un ataque masivo a IxMetro Powerhost, un proveedor chileno de centros de datos y servicios de hosting. Se sospecha que también afectaron a la empresa mexicana Coppel a mediados del mismo mes. Además, se estima que este avanzado malware no solo causó interrupciones temporales en los servicios, sino que también eliminó datos financieros de una empresa tributaria en Colombia y de una agencia gubernamental en Argentina. Aunque esta operación de ransomware emplea cifradores tanto de Linux como de Windows, es especialmente conocida por atacar servidores VMware ESXi.

A partir de junio de 2024, SEXi cambió su nombre a APT INC y ha continuado utilizando los cifradores Babuk y LockBit 3. Estos cibercriminales acceden a los servidores VMware ESXi y cifran archivos relacionados con las máquinas virtuales, como discos virtuales, almacenamiento e imágenes de respaldo.

Tras cambiar de nombre, el grupo sigue utilizando sus métodos originales de cifrado y continúa causando estragos en nuevas víctimas. Las demandas de rescate varían entre miles y millones de dólares. Por ejemplo, el director ejecutivo de IxMetro Powerhost ha declarado públicamente que los criminales exigieron dos bitcoins por cada servidor cifrado.

Lamentablemente, los cifradores Babuk y LockBit 3 son muy seguros y no tienen debilidades conocidas, por lo que no existe una forma gratuita de recuperar los archivos hasta el momento. Las negociaciones con APT INC se realizan a través de la aplicación de mensajería cifrada “Session”.

APT INC es un grupo activo que, según la unidad de investigación de SILIKN, sigue escaneando activamente a posibles víctimas. En México, varias organizaciones, incluidas instituciones educativas, están en riesgo debido a que presentan configuraciones vulnerables. Entre las que podrían ser atacadas en los próximos días se encuentran:

- Universidad Nacional Autónoma de México
- Universidad Autónoma de Coahuila
- Universidad Autónoma del Estado de Morelos
- Instituto Politécnico Nacional
- Benemérita Universidad Autónoma de Puebla
- Corporación Universitaria para el Desarrollo de Internet
- Universidad Autónoma de Zacatecas
- Universidad Autónoma Metropolitana
- Universidad Autónoma de Nuevo León
- Universidad de Guadalajara

Se recomienda a las instituciones que revisen y actualicen sus sistemas, instalen parches de seguridad y fortalezcan sus medidas de protección para prevenir un ataque de este tipo.

Para más información, visite: https://www.silikn.com/