Le centre de données et fournisseur d’hébergement chilien IxMetro Powerhost a subi une cyberattaque aux mains d’un nouveau gang de ransomwares connu sous le nom de SEXi, qui a crypté les serveurs et sauvegardes VMware ESXi de l’entreprise.

PowerHost est une société de centre de données, d’hébergement et d’interconnectivité implantée aux États-Unis, en Amérique du Sud et en Europe.

Lundi, la division chilienne de PowerHost, IxMetro, a averti ses clients qu’elle avait subi une attaque de ransomware tôt samedi matin qui cryptait certains des serveurs VMware ESXi de la société utilisés pour héberger des serveurs privés virtuels pour les clients.

Les clients hébergeant leurs sites Web ou leurs services sur ces serveurs sont actuellement en panne alors que l’entreprise tente de restaurer des téraoctets de données à partir de sauvegardes.

Dans la dernière mise à jour, PowerHost s’est excusé auprès des clients, avertissant qu’il pourrait ne pas être possible de restaurer les serveurs car les sauvegardes ont également été cryptées.

Lorsqu’il a tenté de négocier avec les acteurs de la menace pour recevoir une clé de déchiffrement, le gang de ransomwares a exigé deux bitcoins par victime, ce qui, selon le PDG de PowerHost, équivaudrait à 140 millions de dollars.

Dès le début du problème, nous avons été en contact et collaboré avec diverses agences de sécurité de différents pays pour déterminer si elles étaient au courant de ce ransomware. Toutes les informations que nous avons recueillies indiquent qu’il s’agit de nouvelles variantes avec un niveau de dégâts très élevé. Personnellement, j’ai négocié avec le pirate de l’air, qui exigeait une quantité exorbitante de bitcoins par client: 2 BTC pour chacun, ce qui représentait environ 140 millions. Cependant, même si nous pouvions rassembler le montant requis, cela nous aiderait-il vraiment? La recommandation unanime de tous les organismes d’application de la loi est de ne pas négocier, car dans plus de 90% des cas, les criminels disparaissent tout simplement après paiement.

❖ Le PDG de PowerHost, Ricardo Rubem.
Pour les clients VPS touchés par l’attaque et qui ont toujours le contenu de leur site Web, la société propose de mettre en place un nouveau VPS afin que les clients puissent remettre leurs sites en ligne.

Le nouveau ransomware SEXy
Selon Germán Fernández, chercheur en cybersécurité chez CronUp, PowerHost a été attaqué à l’aide d’un nouveau ransomware qui ajoute le .Extension SEXi et dépose des notes de rançon nommées SEXi.SMS.

Bien que Breachtrace n’ait pas été en mesure de trouver un échantillon de ce ransomware, nous avons appris que le ransomware est relativement nouveau, commençant à cibler les victimes en mars 2023.

Les attaques connues des acteurs de la menace n’ont été vues que ciblant les serveurs VMware ESXi jusqu’à présent, c’est pourquoi l’opération de ransomware a choisi le nom « SEXi », qui est un jeu de mots sur « ESXi ».’

Fichiers de machine virtuelle cryptés avec le .Extension de sexe

Cependant, comme un échantillon du chiffreur n’a pas encore été trouvé, il est possible qu’ils ciblent également les appareils Windows.

En ce qui concerne l’infrastructure de l’opération de ransomware, il n’y a rien de spécial à ce sujet pour le moment. Les notes de rançon contiennent simplement un message indiquant aux victimes de télécharger l’application de messagerie de session et de les contacter à l’adresse indiquée.

Note de rançon sexy

Breachtrace a appris que toutes les notes de rançon partagent la même adresse de contact de session, il n’y a donc rien d’unique pour chaque victime dans la note de rançon.

De plus, on ignore si les attaquants volent des données pour extorquer des entreprises dans le cadre d’attaques de double extorsion via des sites de fuite de données. Cependant, comme il s’agit d’une toute nouvelle opération de ransomware, cela pourrait changer à tout moment.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *