O provedor chileno de data center e hospedagem IxMetro PowerHost foi vítima de um ciberataque por uma nova gangue de ransomware conhecida como SEXi, que criptografou os servidores VMware ESXi da empresa e os backups.
PowerHost é uma empresa de data center, hospedagem e interconectividade, com localizações nos EUA, América do Sul e Europa.
Na segunda-feira, a divisão chilena da PowerHost, IxMetro, alertou seus clientes que sofreu um ataque de ransomware no início da manhã de sábado, que criptografou alguns dos servidores VMware ESXi da empresa, usados para hospedar servidores privados virtuais para os clientes.
Clientes que hospedam seus sites ou serviços nesses servidores estão atualmente fora do ar enquanto a empresa tenta restaurar terabytes de dados a partir de backups.
Na última atualização, a PowerHost pediu desculpas aos clientes, avisando que pode não ser possível restaurar os servidores, já que os backups também foram criptografados.
Ao tentar negociar com os atores da ameaça para receber uma chave de descriptografia, a gangue de ransomware exigiu dois bitcoins por vítima, o que, segundo o CEO da PowerHost, equivaleria a 140 milhões de dólares.
Para clientes de VPS impactados pelo ataque e que ainda possuem o conteúdo de seus sites, a empresa está oferecendo configurar um novo VPS para que os clientes possam colocar seus sites de volta online.
De acordo com o pesquisador de cibersegurança da CronUp, Germán Fernández, a PowerHost foi atacada usando um novo ransomware que adiciona a extensão .SEXi e deixa notas de resgate nomeadas SEXi.txt.
Embora o BleepingComputer não tenha conseguido encontrar uma amostra deste ransomware, aprendemos que o ransomware é bastante novo, começando a mirar vítimas em março de 2023.
Os ataques conhecidos pelos atores da ameaça só foram vistos mirando servidores VMware ESXi até agora, por que a operação de ransomware escolheu o nome 'SEXi', que é um jogo de palavras com 'ESXi'.
No entanto, como uma amostra do criptografador ainda não foi encontrada, é possível que eles também estejam mirando dispositivos Windows.
Quanto à infraestrutura da operação de ransomware, não há nada de especial nela no momento.
As notas de resgate simplesmente contêm uma mensagem dizendo às vítimas para baixarem o aplicativo de mensagens Session e contatá-los no endereço listado.
O BleepingComputer aprendeu que todas as notas de resgate compartilham o mesmo endereço de contato do Session, então não há nada único para cada vítima na nota de resgate.
Além disso, é desconhecido se os atacantes estão roubando dados para extorquir empresas em ataques de dupla extorsão através de sites de vazamento de dados.
Porém, como esta é uma operação de ransomware muito nova, isso pode mudar a qualquer momento.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...