Şilili veri merkezi ve barındırma sağlayıcısı IxMetro Powerhost, şirketin VMware ESXi sunucularını ve yedeklerini şifreleyen, SEXi olarak bilinen yeni bir fidye yazılımı çetesinin elindeki siber saldırıya uğradı.
PowerHost, ABD, Güney Amerika ve Avrupa'da konumları bulunan bir veri merkezi, barındırma ve ara bağlantı şirketidir.
Pazartesi günü, PowerHost'un Şili bölümü IxMetro, Cumartesi sabahı erken saatlerde, müşteriler için sanal özel sunucuları barındırmak için kullanılan şirketin bazı VMware ESXi sunucularını şifreleyen bir fidye yazılımı saldırısına maruz kaldığı konusunda müşterileri uyardı.
Şirketin terabaytlarca veriyi yedeklerden geri yüklemeye çalışması nedeniyle web sitelerini veya hizmetlerini bu sunucularda barındıran müşteriler şu anda kapalı durumda.
En son güncellemede PowerHost, yedeklemeler de şifrelendiğinden sunucuları geri yüklemenin mümkün olmayabileceği konusunda uyararak müşterilerden özür diledi.
Şifre çözme anahtarı almak için tehdit aktörleriyle pazarlık yapmaya çalışırken, fidye yazılımı çetesi kurban başına iki Bitcoin talep etti ve PowerHost'un CEO'su bunun 140 milyon dolara eşit olacağını söyledi.
❖ PowerHost CEO'su Ricardo Rubem.
Şirket, saldırıdan etkilenen ve web sitesi içeriğine hâlâ sahip olan VPS müşterileri için, sitelerini tekrar çevrimiçi hale getirebilmeleri amacıyla yeni bir VPS kurmayı teklif ediyor.
Yeni SEXi fidye yazılımı
CronUp siber güvenlik araştırmacısına göre Alman FernandezPowerHost, .SEXi uzantısını ekleyen ve SEXi.txt adlı fidye notlarını bırakan yeni bir fidye yazılımı kullanılarak saldırıya uğradı.
BleepingComputer bu fidye yazılımının bir örneğini bulamamış olsa da, fidye yazılımının oldukça yeni olduğunu ve Mart 2023'te kurbanları hedeflemeye başladığını öğrendik.
Tehdit aktörlerinin bilinen saldırılarının şu ana kadar yalnızca VMWare ESXi sunucularını hedef aldığı görüldü; bu nedenle fidye yazılımı operasyonu, 'ESXi' kelime oyunu olan 'SEXi' adını seçti.
Kaynak: Germán Fernández
Ancak şifreleyicinin bir örneği henüz bulunamadığından Windows cihazlarını da hedeflemeleri mümkün.
Fidye yazılımı operasyonunun altyapısına gelince, şu an için özel bir şey yok. Fidye notları, kurbanlara Session mesajlaşma uygulamasını indirmelerini ve listelenen adresten onlarla iletişime geçmelerini söyleyen bir mesaj içeriyor.
Kaynak: BleepingComputer
BleepingComputer, tüm fidye notlarının aynı Oturum iletişim adresini paylaştığını, dolayısıyla fidye notunda her kurban için benzersiz bir şey bulunmadığını öğrenmiştir.
Ayrıca saldırganların, veri sızıntısı siteleri aracılığıyla çifte şantaj saldırılarıyla şirketlere şantaj yapmak amacıyla veri çalıp çalmadıkları da bilinmiyor. Ancak bu çok yeni bir fidye yazılımı operasyonu olduğundan her an değişebilir.