Ransomware SEXi: Ataque En Servidores VMware ESXi De Empresa De Hosting
IxMetro Powerhost, un proveedor chileno de centros de datos y hosting, ha sido víctima de un ataque por parte de un nuevo grupo de ransomware denominado SEXi.
Este grupo ha cifrado servidores VMware ESXi de la empresa y sus copias de seguridad, poniendo en jaque la operatividad de numerosos sitios web y servicios alojados. En la madrugada del sábado, la división chilena de PowerHost, IxMetro, alertó a sus clientes sobre un ataque de ransomware que resultó en el cifrado de varios de sus servidores VMware ESXi, esenciales para hospedar servidores privados virtuales para clientes. Este ataque ha causado que los sitios web y servicios alojados en estos servidores queden fuera de línea, mientras la empresa lucha por restaurar terabytes de datos desde las copias de seguridad. Sin embargo, la tarea se ha complicado ya que las copias de seguridad también fueron cifradas.
El CEO de PowerHost, Ricardo Rubem, reveló que al intentar negociar con los ciberatacantes, estos exigieron dos bitcoins por víctima, lo que suma un total aproximado de 140 millones de dólares. A pesar de la posibilidad de reunir la cantidad solicitada, la recomendación unánime de las agencias de seguridad ha sido no negociar, dado que en más del 90% de los casos, los cibercriminales desaparecen tras recibir el pago.
Según Germán Fernández, investigador de seguridad en CronUp, el ransomware utilizado para el ataque agrega la extensión .SEXi a los archivos cifrados y deja notas de rescate nombradas SEXi.txt. Hasta el momento, se ha observado que este ransomware únicamente apunta a servidores VMware ESXi.
La infraestructura detrás de la operación del ransomware SEXi no presenta características particulares en este momento. Las notas de rescate simplemente instruyen a las víctimas a descargar la aplicación de mensajería Session y contactar a los atacantes en la dirección proporcionada.
Aunque aún no se ha encontrado una muestra del cifrador SEXi, el instructor de SANS, Will Thomas, ha descubierto otros variantes en uso desde febrero de 2024, con nombres como SOCOTRA, FORMOSA y LIMPOPO, este último agregando la extensión .LIMPOPO a los archivos cifrados.
Además del cifrado de servidores, se ha revelado que los atacantes han creado encriptadores de Windows relacionados con esta operación utilizando el código fuente filtrado de LockBit 3.0. Estos muestran notas de rescate que indican el robo de datos con amenazas de filtración si no se paga el rescate.
Este incidente subraya la creciente amenaza de ataques de ransomware y la importancia de implementar medidas de seguridad robustas, especialmente para los proveedores de servicios de hosting y centros de datos.
Más información:
- https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-april-5th-2024-virtual-machines-under-attack/
- https://cso.computerworld.es/cibercrimen/ataque-masivo-de-ransomware-contra-servidores-vmware-esxi-en-todo-el-mundo
- https://www.ccn-cert.cni.es/es/seguridad-al-dia/avisos-ccn-cert/12315-ccn-cert-al-01-23-campana-de-explotacion-de-vulnerabilidades-de-vmware-esxi.html
Via: unaaldia.hispasec.com