Чилийское подразделение PowerHost, IxMetro, 30 марта стало жертвой кибератакиновой группировки вымогателей SEXi. В результате атаки были зашифрованы серверы VMware ESXi компании и резервные копии данных.
PowerHost – это компания, занимающаяся центрами обработки данных, хостингом и межсетевыми соединениями, расположенная в США, Южной Америке и Европе.
На некоторых зашифрованных серверах VMware ESXi размещались VPS-сервера клиентов. На данный момент веб-сайты или услуги на VPS-серверах недоступны для клиентов. Компания прилагает усилия по восстановлению терабайтов данных из резервных копий, однако последнее заявление IxMetro свидетельствует о невозможности восстановления серверов, так как резервные копии также были зашифрованы.
Твит исследователя кибербезопасности Германа Фернандеса об атаке на IxMetro
PowerHost сообщила о ведении переговоров с киберпреступниками с целью получения ключа дешифрования . Преступники потребовали 2 BTC за каждую жертву, что в сумме составило бы около $140 млн. Компания подчеркнула, что все правоохранительные органы единогласно рекомендуют не вести переговоры, так как в большинстве случаев преступники исчезают после получения выкупа.
Для клиентов VPS, чьи веб-сайты были затронуты атакой, но у кого осталось содержимое сайтов, компания предлагает создание новых VPS для возможности восстановления их онлайн-присутствия.
Подробности о программе-вымогателе SEXi
По информацииисследователя кибербезопасности Германа Фернандеса из CronUp, программа-вымогатель SEXi добавляет расширение “.SEXi” к зашифрованным файлам и создает заметки о выкупе с именем “SEXi.txt”. Известно, что атаки группировки нацелены только на серверы VMWare ESXi, при этом не исключено, что в будущем могут быть атакованы и устройства на базе Windows.
Записка о выкупе SEXi
По даннымBleepingComputer, инфраструктура операции SEXi не имеет каких-либо особых характеристик. В заметках о выкупе содержится лишь сообщение с призывом скачать приложение Session для связи с вымогателями по указанному адресу. Все заметки о выкупе имеют один и тот же контактный адрес в Session, то есть каждая атака не уникальна.
На текущий момент неизвестно, воруют ли атакующие данные для проведения атак методом двойного вымогательства через сайты утечек данных. Однако, учитывая, что это новая кампания, ситуация может измениться в любой момент.