top of page

RANSOMWARE SEXI

MT-Cyber

Este tipo de ransomware se enfoca en atacar compañías que utilizan servidores ESXi, es por ello que el grupo se autodenominó como “SEXI”

Este tipo de ransomware se enfoca en atacar compañías que utilizan servidores ESXi, es por ello que el grupo se autodenominó como “SEXI” donde al encriptar archivos tienen terminación “.SEXI”, dejando inutilizables archivos, servidores, y máquinas virtuales hasta que se realice el pago a la entidad delictiva.


ATAQUE A SERVIDORES ESXI:
MODUS OPERANDI POPULAR

A pesar de que se conoce que el modus operandi de atacar a servidores ESXi es utilizado por el grupo de ransomware SEXI, diversos grupos delictivos han utilizado esta técnica para emplear ataques de ransomware exitosos como es el caso del ataque a MGM en septiembre de 2023, y el ataque a Coppel en 2024 de acuerdo con ciertos analistas. Diversos grupos de ransomware han utilizado el ataque de servidores de VMware ESXi entre los cuales se pueden destacar Blackcat, Blackbasta, Monti Locker, Scattered Spider, Akira, Trigona, Abys Locker, entre otros.





RECOMENDACIONES ANTE SEXI RANSOMWARE

Organizaciones que utilicen el producto de VMware de tipo ESXi deben asegurarse que la instalación del mismo este actualizada a su versión más reciente para así evitar explotación de vulnerabilidades por atacantes. Revisar versión de ESXi utilizada, ya que la versión 6.5 y 6.7 ya no tiene soporte, por lo que es más vulnerable a ataques cibernéticos. Restringir el acceso o cerrar el puerto 427 de conexiones inseguras, ya que este medio ha sido utilizado para la implementación de ransomware. Si es necesaria la utilización de acceso remoto a servidores ESXi debe ser implementado bajo una VPN donde debe de existir un proceso de autenticación. Programar respaldos internos de los servidores ESXi que se estén utilizando para así fortalecer los procedimientos de recuperación en caso de incidentes.


 

IOCS IDENTIFICADOS

  • 58ba94be5c2c7d740b6192fea1cc829756 da955bb0f2fcf478ab8355bf33a31a

  • 6371b930d541e441cb5a9234b327395e0 5501f3405fb45ef13d9c2dabb6aa40c

  • 2e83048c7ed1193f09ae8d293b42c10566 2828f2ab56a2fa1f81379ee250fc46

  • 9b1d8a32c941f77c5ecb35a10218006289 8fe5d3f52afc906bec85e6b0c40a8c.

  • 21435eb1c230cfe09453cfb002ff0d1b7ca 2c0299194eb1a798a9594d7938fddeb

  • da031536e373d9f4cf6e41b863de3ce5a8 487e13065d0eb9f4d81499276d7008

  • 11b1b2375d9d840912cfd1f0d0d04d93ed 0cddb0ae4ddb550a5b62cd044d6b66

  • 10c3b6b03a9bf105d264a8e7f30dcab0a6 c59a414529b0af0a6bd9f1d2984459

  • 5a9448964178a7ad3e8ac509c06762e41 8280c864c1d3c2c4230422df2c66722

  • 87961344f13a452fb4aa46dd22a9aa31c5 d411b1d8d37bac7a36f94a5be9fb0d



VULNERABILIDADES APROVECHADAS POR ATACANTES ENESXI

  • CVE-2021-21974


  • CVE-2020-3992



 

DESCARGA AQUÍ LA VERSIÓN EN PDF DE CYBER PULSE


MT-Cyber Cyber Pulse Mayo 2024
.pdf
Download PDF • 2.77MB



bottom of page