Ransomware SEXi: Een nieuwe uitdaging voor de beveiliging van hostingproviders

In een incident dat de hostingdienstenindustrie heeft opgeschrikt, is IxMetro Powerhost, een toonaangevende Chileense aanbieder van datacenters en hosting, het slachtoffer geworden van een aanval uitgevoerd door een nieuwe ransomwaregroep genaamd SEXi. Deze aanval heeft de operationele werking van talrijke websites en diensten die op de servers van het bedrijf worden gehost, in gevaar gebracht.

De aanval, die plaatsvond in de vroege uurtjes van zaterdag, richtte zich op het versleutelen van verschillende VMware ESXi-servers van IxMetro Powerhost, essentieel voor het hosten van virtuele privéservers voor hun klanten. Als gevolg hiervan gingen de websites en diensten gehost op deze servers offline, terwijl het bedrijf worstelde om terabytes aan data te herstellen vanuit back-ups. De taak werd echter nog ingewikkelder toen bleek dat de back-ups zelf ook versleuteld waren door de cybercriminelen.

Volgens onthullingen van Ricardo Rubem, CEO van PowerHost, toen hij probeerde te onderhandelen met de cyberaanvallers, eisten zij twee bitcoins per slachtoffer, wat neerkomt op een totaal van ongeveer 140 miljoen dollar. Ondanks de mogelijkheid om het gevraagde bedrag bijeen te krijgen, is de unanieme aanbeveling van beveiligingsagentschappen geweest om niet te onderhandelen, aangezien in meer dan 90% van de gevallen de cybercriminelen verdwijnen na ontvangst van de betaling.

Germán Fernández, veiligheidsonderzoeker bij CronUp, heeft opgemerkt dat de ransomware die voor de aanval werd gebruikt de extensie .SEXi toevoegt aan de versleutelde bestanden en losgeldnota’s achterlaat genaamd SEXi.txt. Tot nu toe is waargenomen dat deze ransomware alleen gericht is op VMware ESXi-servers.

De infrastructuur achter de werking van de SEXi ransomware vertoont op dit moment geen bijzondere kenmerken. De losgeldnotities instrueren de slachtoffers simpelweg om de Session-berichtenapplicatie te downloaden en contact op te nemen met de aanvallers op de verstrekte adres.

Hoewel er nog geen exemplaar van de SEXi-encryptor is gevonden, heeft SANS-instructeur Will Thomas andere varianten ontdekt die sinds februari 2024 in gebruik zijn, met namen als SOCOTRA, FORMOSA en LIMPOPO, waarbij de laatste de extensie .LIMPOPO toevoegt aan de versleutelde bestanden.

Naast de versleuteling van servers, is onthuld dat de aanvallers Windows encryptors gerelateerd aan deze operatie hebben gecreëerd met behulp van de gelekte broncode van LockBit 3.0. Deze tonen losgeldnota’s die de diefstal van gegevens aangeven met bedreigingen van lekken als het losgeld niet betaald wordt.

Dit incident onderstreept de groeiende bedreiging van ransomware-aanvallen en het belang van het implementeren van robuuste beveiligingsmaatregelen, vooral voor hostingdienstaanbieders en datacenters. De industrie staat voor een constante uitdaging om een stap voor te blijven op de cybercriminelen en de integriteit van de data en diensten van hun klanten te beschermen.

Bronnen: Bleeping computer en CCN-cert.