En un incidente que ha sacudido la industria de los servicios de hosting, IxMetro Powerhost, un reconocido proveedor chileno de centros de datos y hosting, ha sido víctima de un ataque perpetrado por un nuevo grupo de ransomware denominado SEXi. Este ataque ha puesto en jaque la operatividad de numerosos sitios web y servicios alojados en los servidores de la empresa.

El ataque, que tuvo lugar en la madrugada del sábado, se centró en el cifrado de varios servidores VMware ESXi de IxMetro Powerhost, esenciales para hospedar servidores privados virtuales para sus clientes. Como consecuencia, los sitios web y servicios alojados en estos servidores quedaron fuera de línea, mientras la empresa luchaba por restaurar terabytes de datos desde las copias de seguridad. Sin embargo, la tarea se complicó aún más cuando se descubrió que las propias copias de seguridad también habían sido cifradas por los ciberdelincuentes.

Según reveló Ricardo Rubem, CEO de PowerHost, al intentar negociar con los ciberatacantes, estos exigieron dos bitcoins por víctima, lo que suma un total aproximado de 140 millones de dólares. A pesar de la posibilidad de reunir la cantidad solicitada, la recomendación unánime de las agencias de seguridad ha sido no negociar, dado que en más del 90% de los casos, los cibercriminales desaparecen tras recibir el pago.

Germán Fernández, investigador de seguridad en CronUp, ha señalado que el ransomware utilizado para el ataque agrega la extensión .SEXi a los archivos cifrados y deja notas de rescate nombradas SEXi.txt. Hasta el momento, se ha observado que este ransomware únicamente apunta a servidores VMware ESXi.

La infraestructura detrás de la operación del ransomware SEXi no presenta características particulares en este momento. Las notas de rescate simplemente instruyen a las víctimas a descargar la aplicación de mensajería Session y contactar a los atacantes en la dirección proporcionada.

Aunque aún no se ha encontrado una muestra del cifrador SEXi, el instructor de SANS, Will Thomas, ha descubierto otros variantes en uso desde febrero de 2024, con nombres como SOCOTRA, FORMOSA y LIMPOPO, este último agregando la extensión .LIMPOPO a los archivos cifrados.

Además del cifrado de servidores, se ha revelado que los atacantes han creado encriptadores de Windows relacionados con esta operación utilizando el código fuente filtrado de LockBit 3.0. Estos muestran notas de rescate que indican el robo de datos con amenazas de filtración si no se paga el rescate.

Este incidente subraya la creciente amenaza de ataques de ransomware y la importancia de implementar medidas de seguridad robustas, especialmente para los proveedores de servicios de hosting y centros de datos. La industria enfrenta un desafío constante para mantenerse un paso adelante de los ciberdelincuentes y proteger la integridad de los datos y servicios de sus clientes.

Fuentes: Bleeping computer y CCN-cert.