Ο Χιλιανός πάροχος φιλοξενίας και κέντρου δεδομένων, IxMetro Powerhost, δέχτηκε επίθεση από μια νέα ομάδα ransomware με το όνομα SEXi, η οποία κρυπτογράφησε τους διακομιστές και τα αντίγραφα ασφαλείας της εταιρείας στο VMware ESXi.
Δείτε επίσης: Η VMware διορθώνει κρίσιμα σφάλματα σε ESXi, Workstation και Fusion
Η PowerHost είναι μια εταιρεία κέντρου δεδομένων, φιλοξενίας και διασύνδεσης με τοποθεσίες στις ΗΠΑ, τη Νότια Αμερική και την Ευρώπη.
Τη Δευτέρα, η IxMetro PowerHost, προειδοποίησε τους πελάτες ότι υπέστη επίθεση ransomware το πρωί του Σαββάτου που κρυπτογράφησε κάποιους από τους διακομιστές VMware ESXi της εταιρείας, που χρησιμοποιούνται για τη φιλοξενία εικονικών ιδιωτικών διακομιστών για τους πελάτες.
Οι πελάτες που φιλοξενούν τις ιστοσελίδες ή τις υπηρεσίες τους σε αυτούς τους διακομιστές βρίσκονται αυτή τη στιγμή εκτός λειτουργίας, καθώς η εταιρεία προσπαθεί να ανακτήσει τα δεδομένα από αντίγραφα ασφαλείας.
Στην πιο πρόσφατη ενημέρωση, η PowerHost ζήτησε συγγνώμη από τους πελάτες της, προειδοποιώντας ότι ενδέχεται να μην είναι δυνατή η αποκατάσταση των διακομιστών καθώς και τα αντίγραφα ασφαλείας έχουν κρυπτογραφηθεί.
Κατά την προσπάθεια διαπραγμάτευσης με τους κακόβουλους φορείς για τη λήψη του κλειδιού αποκρυπτογράφησης, η ομάδα ransomware IxMetro PowerHost, ζήτησε δύο bitcoins ανά θύμα, ποσό που σύμφωνα με τον διευθύνοντα σύμβουλο της εταιρείας θα ισοδυνάμουσε με 140 εκατομμύρια δολάρια.
Δείτε ακόμα: Broadcom: Πρόκειται να απολύσει 1.300 υπαλλήλους της VMware
Για τους πελάτες VPS που επλήγησαν από την επίθεση και διατηρούν ακόμα το περιεχόμενο της ιστοσελίδας τους, η εταιρεία προσφέρεται να δημιουργήσει ένα νέο VPS ώστε οι πελάτες να μπορέσουν να φέρουν τις ιστοσελίδες τους ξανά στο διαδίκτυο.
Σύμφωνα με τον ερευνητή κυβερνοασφάλειας της CronUp, Germán Fernández, η IxMetro PowerHost δέχτηκε επίθεση χρησιμοποιώντας ένα νέο ransomware που προσθέτει την κατάληξη .SEXi και αποθέτει σημειώσεις λύτρων με το όνομα SEXi.txt.
Μέχρι στιγμής, οι επιθέσεις που έχουν πραγματοποιηθεί από απειλητικούς παράγοντες έχουν παρατηρηθεί να στοχεύουν διακομιστές VMWare ESXi. Αυτός είναι ο λόγος που η λειτουργία ransomware πήρε το όνομα ‘SEXi,’ ένα λογοπαίγνιο με τη λέξη VMWare ‘ESXi.’
Ωστόσο, καθώς δεν έχει βρεθεί ακόμη δείγμα του κρυπτογράφου, είναι πιθανό να επικεντρώνονται και σε συσκευές με λειτουργικό σύστημα Windows.
Όσον αφορά την υποδομή της λειτουργίας του ransomware, δεν υπάρχει τίποτα ιδιαίτερο προς το παρόν. Τα αιτήματα λύτρων απλώς περιέχουν ένα μήνυμα που λέει στα θύματα να κατεβάσουν την εφαρμογή Session messaging και να επικοινωνήσουν μαζί τους στην καταχωρημένη διεύθυνση. Επιπλέον, δεν είναι γνωστό εάν οι επιτιθέμενοι κλέβουν δεδομένα για να εκβιάσουν εταιρείες μέσω διπλών επιθέσεων εκβιασμού.
Δείτε επίσης: VMware: Συνιστά την αφαίρεση του EAP plugin λόγω ευπαθειών
Πώς μπορεί να προστατευτεί κάποιος από το ransomware;
Η προστασία από το ransomware, όπως αυτό που υπέστη η IxMetro Powerhost, απαιτεί έναν συνδυασμό προληπτικών μέτρων και καλών ψηφιακών συνηθειών. Καταρχάς, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλα τα προγράμματα ενημερωμένα. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις τελευταίες επιθέσεις ransomware. Επιπλέον, η χρήση ενός αξιόπιστου λογισμικού antivirus μπορεί να βοηθήσει στην ανίχνευση και την αποτροπή του ransomware πριν αυτό επιτεθεί στο σύστημά σας. Η εκπαίδευση είναι επίσης κρίσιμη. Πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, οι οποίες είναι ένας κοινός τρόπος διανομής του ransomware. Τέλος, η δημιουργία και η διατήρηση τακτικών αντιγράφων ασφαλείας των σημαντικών δεδομένων σας είναι ένα από τα πιο αποτελεσματικά μέτρα προστασίας. Αν πέσετε θύμα επίθεσης ransomware, θα μπορείτε να επαναφέρετε τα δεδομένα σας από το αντίγραφο ασφαλείας αντί να πληρώσετε τα λύτρα.
Πηγή: bleepingcomputer
