El proveedor chileno de hosting IxMetro Powerhost sufrió un ciberataque a manos de una nueva banda de ransomware conocida como SEXi, que cifró los servidores y copias de seguridad VMware ESXi de la compañía.
PowerHost es una empresa de interconectividad, alojamiento y centros de datos con ubicaciones en EE.UU., Sudamérica y Europa.
El lunes, la división chilena de PowerHost, IxMetro, advirtió a los clientes que sufrió un ataque de ransomware la madrugada del sábado que cifró algunos de los servidores VMware ESXi de la compañía que se utilizan para alojar servidores privados virtuales para los clientes.
Los clientes que alojan sus sitios web o servicios en estos servidores están actualmente inactivos mientras la empresa intenta restaurar terabytes de datos a partir de copias de seguridad. En la última actualización, PowerHost se disculpó con los clientes y advirtió que tal vez no sea posible restaurar los servidores ya que las copias de seguridad también se han cifrado.
Al intentar negociar con los actores de amenazas para recibir una clave de descifrado, la banda de ransomware exigió dos bitcoins por víctima, lo que, según el CEO de PowerHost, equivaldría a 140 millones de dólares.
Para los clientes de VPS afectados por el ataque y que aún tienen el contenido de su sitio web, la compañía ofrece configurar un nuevo VPS para que los clientes puedan volver a poner sus sitios en línea.
Nuevo ransomware SEXi
Según el investigador de ciberseguridad de CronUp, Germán Fernández (aka 1ZRR4H), PowerHost fue atacado utilizando un nuevo ransomware que agrega la extensión .SEXi y deja notas de rescate llamadas SEXi.txt.
Por ahora se sabe que el ransomware es bastante nuevo y comenzó a atacar a las víctimas en marzo de 2023. Los ataques conocidos de los actores de amenazas solo se han visto dirigidos a servidores VMWare ESXi hasta ahora, razón por la cual la operación de ransomware eligió el nombre ‘SEXi’, que es un juego de palabras con ‘ESXi’.
Sin embargo, como todavía no se ha encontrado una muestra del cifrador, es posible que también estén apuntando a dispositivos Windows y, de acuerdo informa BushidoToken, estaría relacionado con otras muestras del ransomware Babuk.
En cuanto a la infraestructura de la operación de ransomware, no tiene nada de especial en este momento. Las notas de rescate simplemente contienen un mensaje que indica a las víctimas que descarguen la aplicación de mensajería Session y se comuniquen con ellas en la dirección indicada.
BleepingComputer descubrió que todas las notas de rescate comparten la misma dirección de contacto de la sesión, por lo que no hay nada único para cada víctima en la nota de rescate. Además, se desconoce si los atacantes están robando datos para extorsionar a las empresas en ataques de doble extorsión a través de sitios de fuga de datos. Sin embargo, como se trata de una operación de ransomware muy nueva, eso podría cambiar en cualquier momento.
Fuente: SeguInfo