• 2 Votes
    1 Messages
    42 Vues

    Un nouveau gang de ransomware surnommé SEXi est parvenu à compromettre l’infrastructure du fournisseur de services chilien IXMetro Powerhost ! Lors de cette attaque, les pirates ont chiffré des serveurs VMware ESXi ainsi que des sauvegardes ! Faisons le point.

    PowerHost est un fournisseur de services spécialisés dans les centres de données et l’hébergement, implanté en Amérique du Sud, notamment avec sa division IXMetro présente au Chili, aux États-Unis, et en Europe.

    Samedi 30 mars 2024, tôt en début de journée, IXMetro a subi une cyberattaque lors de laquelle les pirates sont parvenus à chiffrer plusieurs serveurs VMware ESXi notamment utilisés pour héberger des serveurs privés virtuels de clients (VPS). De ce fait, les services hébergés sont inaccessibles.

    Les équipes d’IXMetro cherchent à restaurer les données de leurs serveurs et de leurs clients à partir de précédentes sauvegardes, mais la tâche ne s’annonce pas simple : les sauvegardes sont également chiffrées. Ricardo Rubem, le CEO de PowerHost, affirme qu’il a essayé de négocier avec les cybercriminels, car il a envisagé de payer la rançon : “J’ai négocié avec le pirate, qui a exigé un montant exorbitant de bitcoins par client : 2 BTC pour chacun, soit environ 140 millions de dollars.”, précise-t-il.

    Le ransomware SEXi

    Le gang de ransomware SEXi serait une menace relativement récente et cette attaque serait son premier “gros coup” !

    , lorsque des fichiers sont chiffrés par ce ransomware, l’extension “.SEXi” est utilisée, et ceux-ci sont accompagnés par une note de rançon nommée “SEXi.txt”.

    D’après le site BleepingComputer, ce gang mène des attaques depuis mars 2023, mais cela reste à confirmer. Ce qui est certain, c’est que les cybercriminels du groupe SEXi cible seulement les hyperviseurs VMware ESXi, ce qui en fait une menace supplémentaire pour les infrastructures de virtualisation basées sur la solution VMware by Broadcom.

    Pour le moment, nous ignorons si ce gang de ransomware applique le principe de la double extorsion, car à l’heure actuelle, ce gang ne semble pas avoir de site dédié aux fuites de données.

    – Source :

    https://www.it-connect.fr/les-serveurs-vmware-esxi-un-hebergeur-chiffres-par-le-nouveau-ransomware-sexi/

  • 1 Votes
    1 Messages
    81 Vues

    Le cybergang AvosLocker a ajouté à son arsenal d’attaques une version Linux de son ransomware. Il cible les serveurs sur lesquelles les hyperviseurs ESXi de VMWare sont installés. Avec à la clé a déjà des victimes et des demande de rançon atteignant le million de dollars.

    Les machines virtuelles ont la cote auprès des pirates. On comprend pourquoi car une seule commande malveillante ciblant cet environnement ESXi de VMware chiffre rapidement des données serveurs sur lesquelles elles sont installées. Et une belle opportunité pour les cybergangs de maximiser les gains. Ils sont ainsi nombreux à l’avoir compris et ont depuis quelques mois conçu des variantes de leurs ransomwares pour s’en prendre aux serveurs hébergeant des hyperviseurs ESXi. C’est le cas par exemple de Babuk, DarkSide, Mespinoza, RansomExx/Defray ou encore dernièrement de REvil.

    Dans son sillage, il faudra aussi maintenant compter sur AvosLocker, un groupe de cybercriminels apparu dans le courant de l’été dernier qui n’hésite pas à faire sa publicité sur les forums du dark net pour trouver des affiliés. Positionné sur le juteux créneau du RaaS (Ransomware As A Service),

    AvostLocker a lancé en octobre dernier des variantes de ses rançongiciels (

    ). Le groupe de chercheurs en sécurité MalwareHunterTeam a expliqué qu’AvosLocker avait commencé à utiliser le cryptolocker Linux à partir de novembre 2021.

    Une version Linux d’un ransomware taillée ESXi

    Pour rappel, ESXi est l’hyperviseur de type 1 de VMware pour créer et exécuter des machines virtuelles. Il s’installe directement au niveau matériel d’un serveur hôte pour gérer plusieurs VM clientes et partager avec elles des ressources virtualisées (mémoire, capacités de calcul…). « La raison pour laquelle la plupart des groupes de ransomwares ont mis en oeuvre une version basée sur Linux de leur ransomware est de cibler spécifiquement ESXi », affirme Fabian Wosarn, CTO d’Emsisoft.

    Une fois lancé sur un système Linux, AvosLocker stoppera toutes les machines virtuelles gérées par ESXi sur un serveur à l’aide d’une seule commande. Une fois qu’il tourne sur un système compromis, le ransomware ajoute l’extension .avoslinux à tous les fichiers chiffrés et les notes de rançons sont affichées. Ces dernières précisent de ne pas éteindre les systèmes pour éviter la corruption de fichiers et redirigent vers un lien Tor pour payer une rançon. Cette dernière peut s’avérer particulièrement salée : selon BleepingCOmputer au moins une victime s’est vue demander de régler 1 million de dollars.

    Article rédigé par Dominique Filippone (Chef des actualités LMI) - le 12 Janvier 2022

    SOURCE: Le monde informatique