Nhà cung cấp dịch vụ lưu trữ và trung tâm dữ liệu Chile IxMetro Powerhost đã phải hứng chịu một cuộc tấn công mạng do nhóm ransomware mới có tên SEXi thực hiện. Nhóm này đã mã hóa các máy chủ và bản sao lưu VMware ESXi của công ty.
Powerhost là công ty lưu trữ và kết nối, trung tâm dữ liệu có trụ sở tại Hoa Kỳ, Nam Mỹ và Châu Âu.
Đầu tuần, bộ phận IxMetro của Powerhost tại Chile, đã cảnh báo khách hàng về cuộc tấn công ransomware mã hóa một số máy chủ VMware ESXi mà công ty sử dụng để lưu trữ các máy chủ riêng ảo cho khách hàng.
Khách hàng lưu trữ trang web hoặc dịch vụ trên các máy chủ này hiện không hoạt động trong khi công ty tiến hành khôi phục hàng terabyte dữ liệu từ bản sao lưu.
Theo thông tin cập nhật mới nhất, Powerhost đã xin lỗi khách hàng, cảnh báo rằng có thể không khôi phục được máy chủ vì các bản sao lưu cũng đã bị mã hóa.
Khi thương lượng với hacker để nhận khóa giải mã, nhóm ransomware yêu cầu mỗi nạn nhân hai bitcoin, tương đương với tổng khoảng 140 triệu USD.
CEO của PowerHost cho biết: “Chúng tôi đã liên hệ và phối hợp với cơ quan an ninh ở nhiều quốc gia để xác định xem họ có biết về ransomware này hay không. Thông tin nhận được cho thấy đây là biến thể mới có mức độ “sát thương” rất cao. Hacker đòi 2 BTC cho mỗi khách hàng, tổng cộng lên tới khoảng 140 triệu. Tuy nhiên, ngay cả khi chúng tôi trả số tiền theo yêu cầu, cũng chưa chắc có tác dụng. Khuyến nghị chung từ tất cả các cơ quan thực thi pháp luật là không thương lượng, vì trong hơn 90% trường hợp, hacker sẽ “biến mất” sau khi nhận được tiền chuộc”.
Đối với những khách hàng VPS bị ảnh hưởng bởi cuộc tấn công và những người vẫn còn nội dung trang web, công ty đang đề nghị thiết lập một VPS mới để khách hàng có thể đưa trang web của mình trực tuyến trở lại.
Ransomware SEXi
Theo nhà nghiên cứu an ninh mạng Germán Fernández của CronUp, Powerhost đã bị tấn công bằng cách sử dụng ransomware mới gắn thêm phần mở rộng .SEXi và gửi ghi chú đòi tiền chuộc có tên SEXi.txt.
Ransomware này được cho là khá mới, bắt đầu nhắm mục tiêu vào nạn nhân vào tháng 3/2023. Cho đến nay, các cuộc tấn công liên quan SEXi chỉ nhắm vào các máy chủ VMWare ESXi. Tuy nhiên, do vẫn chưa tìm thấy mẫu của bộ mã hóa nên mã độc có thể cũng đang nhắm mục tiêu vào các thiết bị Windows.
Về cơ sở hạ tầng hoạt động của ransomware, tại thời điểm này không có gì đặc biệt. Thông báo đòi tiền chuộc chỉ chứa yêu cầu nạn nhân tải xuống ứng dụng nhắn tin Session và liên hệ với hacker theo địa chỉ được nêu ra.
Hiện chưa biết liệu hacker có đánh cắp dữ liệu để thực hiện tống tiền kép thông qua các trang web rò rỉ dữ liệu hay không. Tuy nhiên, vì đây là một hoạt động ransomware rất mới nên điều đó có thể thay đổi bất cứ lúc nào.
Nguồn: Bleeping Computer