Ransomware SEXi

Publicado hace 9 meses 09-04-2024

El ransomware SEXi, detectado por primera vez a finales del mes de marzo de 2024, centra sus ataques exclusivamente hacia servidores ESXi de VMware, y aunque no se han hecho públicos un número considerable de ataques, el análisis presentado en este boletín podría ayudar a inferir que existe una campaña de este grupo de ransomware dirigido a empresas de Latinoamérica. La razón por la cual los actores de amenazas eligieron el nombre “SEXi” es para hacer un juego de palabras con el hipervisor “ESXi” de VMware. Por otro lado, se han encontrado similitudes con el código fuente filtrado del ransomware Babuk, que ha sido utilizado para la encriptación de archivos en servidores ESXi [2]. 

Uno de los procesos que tienen en común todos los grupos de ransomware es la personalización al incluir una extensión única al encriptar los archivos de las víctimas. El ransomware SEXi agrega la extensión “.SEXi” a cada archivo cifrado. Por otro lado, el grupo deja una nota de rescate llamada “SEXi.txt”, la cual contiene indicaciones para que las víctimas se puedan comunicar con los actores de amenazas a través de un software llamado GetSession [2].

Blog elhacker.NET: Nuevo ransomware SEXi, activo en Latinoamérica

Segu-Info - Ciberseguridad desde 2000: Nuevo ransomware SEXi, activo en Latinoamérica

El instructor de SANS, Will Thomas, encontró otras variantes de este ransomware que han estado en uso desde febrero 2024, los cuales tienen los nombres de SOCOTRA, FORMOSA y LIMPOPO (este último utilizando la extensión “.LIMPOPO” en los archivos encriptados), y se encontró que en las notas de rescate de estos 3 ransomwares, el ID para para contactar a los actores de amenazas es el mismo [3]. Estas 3 variantes del ransomware SEXi tienen archivos subidos a la plataforma de VirusTotal desde México y Perú, por lo que se podría inferir que ya han existido víctimas de estos actores de amenazas en territorio mexicano.

Por otro lado, se encontraron binarios de las variantes del ransomware SEXi llamados SOCOTRA_WIN y FORMOSA_WIN, los cuales comparten similitudes con el código fuente filtrado de LockBit 3.0, y son destinados al cifrado de archivos en sistemas de Windows, amenazando también a todas las empresas que mantienen sus sistemas en este sistema operativo.

La primera víctima que reportó haber sido afectada por este ransomware fue la empresa chilena Ix Metro de Powerhost, la cual ha reportado que sufrieron un ataque de ransomware la madrugada del sábado 30 de marzo de 2024, lo cual ocasionó el cifrado de algunos servidores ESXi de VMware de la compañía, los cuales eran utilizados para hostear algunos servidores virtuales privados de clientes. Los servicios y sitios web de los clientes de Ix Metro afectados por esta amenaza estuvieron apagados por más de una semana, a lo que la compañía mencionó que es posible no poder recuperar la información comprometida, pues el CEO de PowerHost mencionó públicamente que al intentar negociar con el grupo de SEXi, este le pidió 2 Bitcoins para poder restaurar toda la información encriptada, lo cual es equivalente a 140 millones de dólares, y mencionó que esta será la tarifa estándar que el grupo le reclamará a cada víctima [1]. 

Al ser una amenaza considerablemente nueva, la información que se tiene sobre ella es escasa, pues no se tiene conocimiento si se trata de un RaaS (Ransomware-as-a-Service), su taxonomía de ataque, ni otros aspectos importantes para el análisis de un ransomware. Sin embargo, la información presentada en este boletín subraya algunos puntos que se pueden fortalecer para evitar ser víctima de este grupo de ransomware. Es por esto que el equipo de Inteligencia de Amenazas del CDC de Alestra realizamos las siguientes recomendaciones.
 

Recomendaciones

  • Actualizar a la última versión de VMware ESXi (8.0 Update 2b) [5]
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Indicadores de compromiso
Tipo Indicador de compromiso
FileHash-SHA256 29109792e5009e14ce1d03830dae10073d531b5fb10a4d1488ed173d76f93ef2
FileHash-SHA256 1b3afe446d6f9b46ac476a318116c534483b7f23465b6e7d19e9bdf2c01fd479
FileHash-SHA256 f3f16f6bd395ab1cc3d6ca09ca88b4de8e383e36c075d12883955764f3c8b2e2
FileHash-SHA256 5d613aad17d62df2e8e8fd560330c4b1737e2df54d7cef03c3ee8212826dd8d3
FileHash-SHA256 a779da7552abe672ea1dbecb43eaca9d9bd700b21a7cef78a797a9c23d613cad
FileHash-SHA256 6882cc1d1503cbaaed4213268194c64330536a320cb11e334052b7f69031278c
FileHash-SHA256 00492655f5df05ef453c648b4570425493cb8f4df21838156cb1e5c0446d0c9e
FileHash-SHA256 03268f2c5729207c98f5cabc9a04e15f8d4a331a9760caa4c8e2c39842da7da6
FileHash-SHA256 b5cd3e2433c3856a1bc40dca7c8b93e5b9e9d7235e2a69ebe31384d16278cd75
FileHash-SHA256 d488b48f4f2e2d77d6fc9a4d592b2dc23f14effe8c3396ad19f0fc342f7858aa
FileHash-SHA256 581bc5287b992efdfafaccdf8ad117adec9e8ed84c1ac2f24cdb1c5a9ea51f8a
FileHash-SHA256 975a1d1c009fdc65fb84c1c5e26a516e2136f18398d8e0d6dabd111fe532c14b
FileHash-SHA256 480101403f5a65cba633c4b4d4ebe87fe2711d9f3b4ee308b1092f8d1d915c28
FileHash-SHA256 db3a6641139dea778c874bc7fb7260253aadd77bdf8108b4374f3cab0a6c0a4f
FileHash-SHA256 f962d54db257c9865f9f4d04ec0fd516072bee39b9dbcb85d4a2d0b14323e0b3
FileHash-SHA256 e4027f59556e4c29d77b396457b5a9af75a299a27b977c81dfce62e51d92c439
FileHash-SHA256 d406683776845a4ba505cb60bbb75caa18fe671a44e5c224fa93b26bf41155a8
FileHash-SHA256 042906399e2db2fd4cda22960c82913dbfcdc2d03901080ae5f520e0bd33aa20
FileHash-SHA256 6fdc85490c3c6f2e4dba83e325dc6fe4340cc0b74f7ae08749542887d3f90519
FileHash-SHA256 6f7a890bab675402ee849ddec218e0ac380c5b9ff3dd3766acf6e5c2a8b9a379
FileHash-SHA256 8791eea95361498cb3f80d52f0fd020123c2de1ea23e948423e763bc8cc1b21f
FileHash-SHA256 8b3249ef4d72660259a08831320a7c97ef5e8a7cc4707f1dd4f77aa0d93e2ab3
FileHash-SHA256 a5f32055751c9bf302d0e67d780c70d407d2dfc85c04a32ac7af94a607fae836
FileHash-SHA256 d6ab95044f4cfabb2ad3ea7c483a54230cbc09fa23db22e9071be03804a436b7
FileHash-SHA256 b5cf1306057fa6e248deba659011130771e918ca1a5cfd9cac247829a8b65171
FileHash-SHA256 205234c43de90157dc56bc9401bba77d6eda23a5ac2dfbb0af7ebb6944c666f7
FileHash-SHA256 68299d16b99e8e6afd08b6c07468145edafb811281c16419fb909460b0a2c424
FileHash-SHA256 bebf54a073df7625170cc220c2c746d1cba2150deb4f50c3b0c87ad77bb15762
FileHash-SHA256 041e800eb422033eb692d6e9d215e06a54925de0dee698cfc1e2ce4c50dc1f20
FileHash-SHA256 17242addf9dd2afc79721ce924a6215f3db61bc6eef27147090e83400b37a6d2
FileHash-SHA256 f66d6a5a40c2328c8770e5b7784dd7cff44c2262c7feb77dafa3cea670dd89ca
FileHash-SHA256 88718524514f63f2fdea84cf767d28bc96769e1dce20d202216277587022d2d1
FileHash-SHA256 d82484e575c3733e6ebfc27da773aa420bab17e312515ee6a1391530004696e5
FileHash-SHA256 62b82416162b824ba9fea5fbe0fdefb04b883d7d23cc554ad0f5538c45c8d46d
FileHash-SHA256 845ae02e71bf21e750606cb16610cc05a0fc37cd3a56033b4d55ed19fbefd934
FileHash-SHA256 fe0343f5cf16fa0426f46feb0947342ef15e31a862493d53395da974c6db72a5
FileHash-SHA256 c273aa956a3e1e4c878cec72423c880114e7bcd990b7c7386266957d94a045e0
FileHash-SHA256 b3ab1e211a8c5ad30f79be15468e81467aed3286de6158b921a44ea8b36f8a47
FileHash-SHA256 1793da80d42508bab0fc38cacd394256481a4b29b37172d0a70053ce2b492d4e
FileHash-SHA256 84259823c7f08997784b5a77154552b85c9af23a5539fc1aecfa6a38bb04c2d6
FileHash-SHA256 7e5a225aaa4558a39a34f7694121fbbd0c94bf475b4b096c9d0c87d6f3ae1b44
FileHash-SHA256 7621860308af46f003d809b84ef199bbe132e7b22b0f68985a306aef062e7761
FileHash-SHA256 dd9806165b3f20a806b5231f84add9b8e834895f22e0ed98066a656c6abcf5f4
FileHash-SHA256 bfdb4fa67a8ec26c83771746fedd4c37fc716818981d4386e817792b7e4f1c08
FileHash-SHA256 904972023ef7817f59c1a78b2885fea56153cc2e60acc4ac47e509b0f8a82774
FileHash-SHA256 cfab95a84fc282e8cad6449486e7dfe497f3ab43f871d4c3ad70258dcc5f84b8
FileHash-SHA256 647c735f430d5422a1affe36843603565157cf6f76617e5f101af55294f5102e
FileHash-SHA256 2dc26fb7393be5d0d9a99f7530e7b42556d900573cc3f3849fa27c5edf2b55c4
FileHash-SHA256 d6b6af8cfc2cc11bbf6554f13d7c3a7eadd8f148fcf126a3b1f15959bded9a12
FileHash-SHA256 6571cae958eadd8d4eef09687c1ac0258563ff633bbddd3db5ebabb35a5b4abb
FileHash-SHA256 d92be58cae837a56308c407360156209bd08f780a7335453a84f5955af3db331
FileHash-SHA256 bb2d5957e1b6fb0f1d91eb87b45aa365559a74a6e3cbe9d115dc2249f751b109
FileHash-SHA256 50fc2209dd85dda785d5cc08954690b6b6cde9f4c1de0dcfe4819bf8f8267d96
FileHash-SHA256 6ba06ceda8135edd4ae3f12136f7e4e02ed9a253e2533f994e1f73b2f66e4891
FileHash-SHA256 fc6eee93f28d29ceadb394fecab6de18eefebe50af3b79b786b80ca61894a3b2
FileHash-SHA256 503f16e60ae382c73c47dc01e98be4b7d1b5ec5d59b45deda24f714c8e1dc039
FileHash-SHA256 58ba94be5c2c7d740b6192fea1cc829756da955bb0f2fcf478ab8355bf33a31a
FileHash-SHA256 6371b930d541e441cb5a9234b327395e05501f3405fb45ef13d9c2dabb6aa40c
FileHash-SHA256 2e83048c7ed1193f09ae8d293b42c105662828f2ab56a2fa1f81379ee250fc46
FileHash-SHA256 9b1d8a32c941f77c5ecb35a102180062898fe5d3f52afc906bec85e6b0c40a8c
FileHash-SHA256 435eb1c230cfe09453cfb002ff0d1b7ca2c0299194eb1a798a9594d7938fddeb
FileHash-SHA256 da031536e373d9f4cf6e41b863de3ce5a8487e13065d0eb9f4d81499276d7008
FileHash-SHA256 bc381eb017ab84d17eb6f3ae994305ef1edd3898d5ec140b2dd5ba478c81e428
FileHash-SHA256 c44781297977b1b2cfcf36e41544b5dc5e1132f7c053a10bcc39ae2bed6a8453
FileHash-MD5 fd5cc630421b486248f93b6d85f8cbfd
FileHash-MD5 925e09fde518efaa60a898080d2d66f1
FileHash-MD5 bd1a0b3ce63c846550d0b362a04dff66
FileHash-MD5 87e31101b3936a317c0c9880c9750801
FileHash-MD5 53579964981633dae3a80b4d7339db4a
FileHash-MD5 a208d43aeb8c4a32fee467375508f01a
FileHash-MD5 6d547940c1a6b3c1531db570b76e546e
FileHash-MD5 c46d36e0a0ad67dfa01bd0f025f55b54
FileHash-MD5 7edf35b18e7e1cfe43daa98bf8e612f3
FileHash-MD5 551d0132ea1660b51b9ca102a2e1a429
FileHash-MD5 1c988e13c4499984c2f149d7199f9077
FileHash-MD5 45826ae51330e2db38c02dc412c0f596
FileHash-MD5 7e5aa3a76de082eff57dd06724ae6dd1
FileHash-MD5 450d4587e39707371b6b9660fdf73849
FileHash-MD5 75ed9cfaa575724566ebc63c0b325aac
FileHash-MD5 00c1875af11ba9636fb6c97203a28f6f
FileHash-MD5 1fbf0c128accfab84fa0a58ed34dd85b
FileHash-MD5 533dad422ae1379497305551563a3adf
FileHash-MD5 1770021289af639a0064200c34b30f5d
FileHash-MD5 c2d6a459a44c30424a6479975705b2d2
FileHash-MD5 9959d9c3ae4a52e2c64e7276145057bf
FileHash-MD5 c29302db5e9de4aecd16bfc8149f6944
FileHash-MD5 43a7f7ada40fc1f483520acca8f5deaf
FileHash-MD5 7fbec8acc2ca97e5058576ebb70960c9
FileHash-MD5 8bc2982ab428e677e09cf5ac2deabc4b
FileHash-MD5 695a283731f3fb73579115699ebc497d
FileHash-MD5 a0644a7bcc0c8bcb78da2d5829283cda
FileHash-MD5 383c0223012b87f430f5e97ac2564bb4
FileHash-MD5 d4ec0f78dce76c70f175c3fa669de431
FileHash-MD5 03af155ea7ba43f0f58cdbce16175868
FileHash-MD5 8e79fc4562a719bdb7aafeaac80bdac5
FileHash-MD5 b2dec816550cc3a58500379c8fc15016
FileHash-MD5 24edd9cf8a1baba409cf24a15324360f
FileHash-MD5 d90cd509a124b7960c1546ca7813cc87
FileHash-MD5 47607214fb14b5ed8e1ea875b9c820c4
FileHash-MD5 e413f877df9bcb339a7d6bf0662a6757
FileHash-MD5 f60a7f3415472ba8b9ebb0a39bcd7a02
FileHash-MD5 ecc96cf7380fb9daef3fcdc60b5ec839
FileHash-MD5 a1bc7b72db7b72aa7a6c08a8327b5b85
FileHash-MD5 3ce6ef10578032cf18a961e6465d2ce2
FileHash-MD5 6bda659b696a2ce2f9d1087a7101bca8
FileHash-MD5 97e6eb301a8724f3e9405512ffa3c277
FileHash-MD5 f4745871b111873e523bbe0f7234e8a8
FileHash-MD5 917b7124752ec4457592646e70938486
FileHash-MD5 496a632f6a4903bb29606c6e83032c57
FileHash-MD5 369656cc1a5fb409beb871d8e0bb56fa
FileHash-MD5 29e35eb015cefd331acc15c1b6876863
FileHash-MD5 3f5a51ac31b1844480bab14213d3f552
FileHash-MD5 f0982ed8e81b51223bd223ff1b10e724
FileHash-MD5 3742eaa53aba065cd771463b0e8aa0a1
FileHash-MD5 99f882f847a62c2678154f9aed82463e
FileHash-MD5 c699a90f1fe01787c0ce169b0ca13012
FileHash-MD5 b5e956ddb5b4c329b6682bcd37ceff62
FileHash-MD5 df03d7918aabc51aa68d4028339c8297
FileHash-MD5 fbd7afa98a15883ef7e323a567ad99b2
FileHash-MD5 007d791a8a8a37876272df8b760f5a7e
FileHash-MD5 9a7f8d0e6098ebd93733bb3a91ae02e3
FileHash-MD5 75d9687e5e37ceb12b93423e0a72b8bc
FileHash-MD5 f485412038002eea5be45fa5ae68ab8e
FileHash-MD5 6f82c5d4be36f3fdf81bb3c04f43f90d
FileHash-MD5 471418c0eb300bc714ce54f07666c377
FileHash-SHA1 09be16e809fac50d920a9fe67817e28677d58dfd
FileHash-SHA1 3ad38751feee320ff75d71170901ec3ec0f55943
FileHash-SHA1 c1dea54591b3e5b66a3e166136fe713d3d563974
FileHash-SHA1 6fff3614088c8b662a7b887fdcc23c982ed2b18b
FileHash-SHA1 bc360c70bb3e1baf5da43ba1946219704aa6fa76
FileHash-SHA1 8003ac68da163acfb65ac0078be01ac64bab1d3b
FileHash-SHA1 30c1b53437f075187170017a915678c27a1a2183
FileHash-SHA1 02ce40b33216029a40429cacfeaf6c436b5a9cb9
FileHash-SHA1 27e34718aa81abc6a088fa25e24f34fd8eefabfa
FileHash-SHA1 bc7043fe8e3ad3a39911c4ca149d4419406a2563
FileHash-SHA1 061811d8158068b0b8e0d1ee4ecff3d1c361d8f0
FileHash-SHA1 f71b6b605d9ede31b447c6dcb5c4a619235063f4
FileHash-SHA1 c84a89eea6b785060114f659e1d94148e7f3a280
FileHash-SHA1 3e27d3cda66dda91448cfe6256f6cc5a0ba0e653
FileHash-SHA1 d420da72aa13c515d2f9cddf695ee8f48b1950fe
FileHash-SHA1 063e4928f28c6f1b2e02aee3c79dc94b8b51707b
FileHash-SHA1 639b8a4cab38ccea2dc72abfe1cf84af477e28d7
FileHash-SHA1 874a564afab8623cd1d480cf4989e4e2478867ad
Domain additiondasal-dasdrequired[.]sexidude[.]com
Domain easternfglo[.]sexidude[.]com
Domain surestniggaraloveme[.]sexidude[.]com
Domain sexi[.]faqserv[.]com
Domain innocent-isayev[.]sexidude[.]com">ftp[.]innocent-isayev[.]sexidude[.]com
Domain additional[.]sexidude[.]com
Domain microsoftgetstarted[.]sexidude[.]com
Domain ftp[.]additional[.]sexidude[.]com
Domain innocent-isayev[.]sexidude[.]com
IP 123[.]13[.]60[.]118
IP 123[.]13[.]58[.]15
IP 123[.]13[.]62[.]174
URL https://petiatedtion-min[.]sexidude[.]com/
URL https://arrator-hasfull[.]sexidude[.]com/
URL https://dynamicdasd-dasdhosting[.]sexidude[.]com/
URL https://chelualdfg[.]sexidude[.]com/
URL https://aljyykbnt[.]sexidude[.]com/
URL https://continuedasdsa-nbvncheckout[.]sexidude[.]com/
URL https://deeytdely[.]sexidude[.]com/
URL https://additiondasal-dasdrequired[.]sexidude[.]com/
URL https://additiondasal-dasdrequired[.]sexidude[.]com/
URL https://easternfglo[.]sexidude[.]com/
URL https://identifrghhg[.]sexidude[.]com/
URL https://optionswandqweq-continue[.]sexidude[.]com/
URL https://requiredwe-nformation[.]sexidude[.]com/
URL https://surestniggaraloveme[.]sexidude[.]com/
URL https://surestniggaraloveme[.]sexidude[.]com/James/New%20ATT/bill[.]charged[.]html
URL https://optionsdas-continueda[.]sexidude[.]com/
URL https://seximage[.]xyz/dro/?1
URL https://playboybeautybr[.]com/tib/sexieatdotpiu

Referencias

  1. Abrams, L. (2024, abril 3). Hosting firm's VMware ESXi servers hit by new SEXi ransomware. BleepingComputer. Recuperado el 9 de abril de 2024 en: https://www.bleepingcomputer.com/news/security/hosting-firms-vmware-esxi-servers-hit-by-new-sexi-ransomware/
  2. Devel Group. (2024, abril 5). Nuevo ransomware SEXi: una amenaza para los servidores VMware ESXi. Devel Group. Recuperado el 9 de abril de 2024 en: https://devel.group/blog/nuevo-ransomware-sexi-una-amenaza-para-los-servidores-vmware-esxi/
  3. Casi Cincuenta Monos. (2024, abril 8). SEXi ransomware apunta a LATAM. Medium. Recuperado el 9 de abril de 2024 en: https://casi-cincuenta-monos.medium.com/sexi-ransomware-apunta-a-latam-a14107a96f4e
  4. NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 3 de abril de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
  5. https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-esxi-80u2b-release-notes/index.html

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más