Новости Новый вымогатель SEXi: $140 млн за расшифровку серверов VMWare ESXi

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Клиенты PowerHost в США, Южной Америке и Европе лишились доступа к своим сайтам.


kunf6f4nec7iluiila0m08z220bo6sm2.jpg


Чилийское подразделение PowerHost, IxMetro, 30 марта Для просмотра ссылки Войди или Зарегистрируйся новой группировки вымогателей SEXi. В результате атаки были зашифрованы серверы VMware ESXi компании и резервные копии данных.

PowerHost — это компания, занимающаяся центрами обработки данных, хостингом и межсетевыми соединениями, расположенная в США, Южной Америке и Европе.

На некоторых зашифрованных серверах VMware ESXi размещались VPS-сервера клиентов. На данный момент веб-сайты или услуги на VPS-серверах недоступны для клиентов. Компания прилагает усилия по восстановлению терабайтов данных из резервных копий, однако последнее заявление IxMetro свидетельствует о невозможности восстановления серверов, так как резервные копии также были зашифрованы.


oor69jjcsdvw5gl6rqbc2spaqc5it4ej.png


Твит исследователя кибербезопасности Германа Фернандеса об атаке на IxMetro

PowerHost сообщила о ведении переговоров с киберпреступниками с целью получения ключа Для просмотра ссылки Войди или Зарегистрируйся . Преступники потребовали 2 BTC за каждую жертву, что в сумме составило бы около $140 млн. Компания подчеркнула, что все правоохранительные органы единогласно рекомендуют не вести переговоры, так как в большинстве случаев преступники исчезают после получения выкупа.

Для клиентов VPS, чьи веб-сайты были затронуты атакой, но у кого осталось содержимое сайтов, компания предлагает создание новых VPS для возможности восстановления их онлайн-присутствия.

Подробности о программе-вымогателе SEXi

По Для просмотра ссылки Войди или Зарегистрируйся исследователя кибербезопасности Германа Фернандеса из CronUp, программа-вымогатель SEXi добавляет расширение «.SEXi» к зашифрованным файлам и создает заметки о выкупе с именем «SEXi.txt». Известно, что атаки группировки нацелены только на серверы VMWare ESXi, при этом не исключено, что в будущем могут быть атакованы и устройства на базе Windows.


v3f42my1yc9xs177upz1qiu1m8le2zys.png


Записка о выкупе SEXi

По Для просмотра ссылки Войди или Зарегистрируйся BleepingComputer, инфраструктура операции SEXi не имеет каких-либо особых характеристик. В заметках о выкупе содержится лишь сообщение с призывом скачать приложение Session для связи с вымогателями по указанному адресу. Все заметки о выкупе имеют один и тот же контактный адрес в Session, то есть каждая атака не уникальна.

На текущий момент неизвестно, воруют ли атакующие данные для проведения атак методом двойного вымогательства через сайты утечек данных. Однако, учитывая, что это новая кампания, ситуация может измениться в любой момент.
 
Источник новости
www.securitylab.ru

Похожие темы