SEXi Ransomware เปลี่ยนชื่อเป็น ‘APT Inc.’ แล้ว แต่ยังคงใช้วิธีการเดิม

254/67 (IT) ประจำวันพุธที่ 17 กรกฎาคม 2567

กลุ่มแรนซัมแวร์ SEXi ซึ่งเป็นกลุ่มอาชญากรทางไซเบอร์ที่ได้ทำการโจมตีองค์กรต่าง ๆ ตั้งแต่เดือนกุมภาพันธ์ ได้เปลี่ยนชื่อใหม่เป็น APT Inc. ตั้งแต่เดือนมิถุนายน โดยกลุ่มนี้ใช้ตัวเข้ารหัส Babuk และ LockBit 3 ที่รั่วไหลเพื่อโจมตีเซิร์ฟเวอร์ VMware ESXi และเซิร์ฟเวอร์ Windows ซึ่งปัจจุบัน APT Inc. ยังคงใช้การเข้ารหัสแบบเดิมในการโจมตี โดยเรียกค่าไถ่ตั้งแต่หลายพันจนถึงหลายล้านดอลลาร์ โดยมีเหยื่อบางรายได้แบ่งปันประสบการณ์และบันทึกการเรียกค่าไถ่ของ APT Inc. ต่อสาธารณะ โดยข้อความเรียกค่าไถ่มีการขู่กรรโชกว่า “คุณโดนแฮ็ก! เราคือ APT INC; ไปที่ https://getsession[dot]org/; ดาวน์โหลดและติดตั้ง; จากนั้นเพิ่ม 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912 ลงในรายชื่อติดต่อของคุณแล้วส่งข้อความถึงเราโดยใช้ชื่อรหัสนี้ – – – > GARAKLY;” โดยมีการขู่ให้ชำระเงินภายใน 1 สัปดาห์ และขู่ไม่ให้แจ้งความหรือขอความช่วยเหลือจากหน่วยงานอื่น ๆ  จนถึงปัจจุบันยังไม่มีการพบจุดอ่อนของตัวเข้ารหัส Babuk และ LockBit 3 และยังไม่มีวิธีการฟรีในการกู้คืนไฟล์ที่ถูกเข้ารหัสจากกลุ่มดังกล่าว

แหล่งข่าว https://www.darkreading.com/threat-intelligence/sexi-ransomware-rebrands-maintains-original-methods-of-operation