Ransomware SEXi : Un nouveau défi pour la sécurité des fournisseurs d’hébergement

Dans un incident qui a ébranlé l’industrie des services d’hébergement, IxMetro Powerhost, un fournisseur chilien reconnu de centres de données et d’hébergement, a été victime d’une attaque perpétrée par un nouveau groupe de ransomware appelé SEXi. Cette attaque a mis en péril l’opérationnalité de nombreux sites Web et services hébergés sur les serveurs de l’entreprise.

L’attaque, qui a eu lieu tôt le matin du samedi, s’est concentrée sur le chiffrement de plusieurs serveurs VMware ESXi d’IxMetro Powerhost, essentiels pour héberger des serveurs privés virtuels pour leurs clients. En conséquence, les sites Web et services hébergés sur ces serveurs ont été mis hors ligne, tandis que l’entreprise s’efforçait de restaurer des téraoctets de données à partir des sauvegardes. Cependant, la tâche a été encore compliquée lorsque l’on a découvert que les propres sauvegardes avaient également été chiffrées par les cybercriminels.

Selon ce que Ricardo Rubem, PDG de PowerHost, a révélé lors de la tentative de négociation avec les cyberattaquants, ceux-ci ont exigé deux bitcoins par victime, ce qui équivaut à un total approximatif de 140 millions de dollars. Malgré la possibilité de réunir le montant demandé, la recommandation unanime des agences de sécurité a été de ne pas négocier, étant donné que dans plus de 90% des cas, les cybercriminels disparaissent après avoir reçu le paiement.

Germán Fernández, chercheur en sécurité chez CronUp, a indiqué que le ransomware utilisé pour l’attaque ajoute l’extension .SEXi aux fichiers chiffrés et laisse des notes de rançon nommées SEXi.txt. Jusqu’à présent, on a observé que ce ransomware vise uniquement des serveurs VMware ESXi.

L’infrastructure derrière l’opération du ransomware SEXi ne présente pas de caractéristiques particulières en ce moment. Les notes de rançon se contentent d’instruire les victimes de télécharger l’application de messagerie Session et de contacter les attaquants à l’adresse fournie.

Bien qu’aucun échantillon du ransomware SEXi n’ait encore été trouvé, un instructeur de SANS, Will Thomas, a découvert d’autres variantes en utilisation depuis février 2024, avec des noms comme SOCOTRA, FORMOSA et LIMPOPO, ce dernier ajoutant l’extension .LIMPOPO aux fichiers chiffrés.

Outre le chiffrement des serveurs, il a été révélé que les attaquants ont créé des chiffreurs Windows liés à cette opération en utilisant le code source divulgué de LockBit 3.0. Ceux-ci affichent des notes de rançon indiquant le vol de données avec des menaces de fuite si la rançon n’est pas payée.

Cet incident souligne la menace croissante des attaques de ransomware et l’importance de mettre en œuvre des mesures de sécurité robustes, en particulier pour les fournisseurs de services d’hébergement et de centres de données. L’industrie fait face à un défi constant pour rester un pas en avant des cybercriminels et protéger l’intégrité des données et des services de ses clients.

Sources : Bleeping computer et CCN-cert.

Scroll al inicio