04/04/24
В результате атаки были зашифрованы серверы VMware ESXi компании и резервные копии данных.
PowerHost — это компания, занимающаяся центрами обработки данных, хостингом и межсетевыми соединениями, расположенная в США, Южной Америке и Европе.
На некоторых зашифрованных серверах VMware ESXi размещались VPS-сервера клиентов. На данный момент веб-сайты или услуги на VPS-серверах недоступны для клиентов. Компания прилагает усилия по восстановлению терабайтов данных из резервных копий, однако последнее заявление IxMetro свидетельствует о невозможности восстановления серверов, так как резервные копии также были зашифрованы.
PowerHost сообщила о ведении переговоров с киберпреступниками с целью получения ключа дешифрования, сообшает Securitylab. Преступники потребовали 2 BTC за каждую жертву, что в сумме составило бы около $140 млн. Компания подчеркнула, что все правоохранительные органы единогласно рекомендуют не вести переговоры, так как в большинстве случаев преступники исчезают после получения выкупа.
Для клиентов VPS, чьи веб-сайты были затронуты атакой, но у кого осталось содержимое сайтов, компания предлагает создание новых VPS для возможности восстановления их онлайн-присутствия.
Подробности о программе-вымогателе SEXi
По информации исследователя кибербезопасности Германа Фернандеса из CronUp, программа-вымогатель SEXi добавляет расширение «.SEXi» к зашифрованным файлам и создает заметки о выкупе с именем «SEXi.txt». Известно, что атаки группировки нацелены только на серверы VMWare ESXi, при этом не исключено, что в будущем могут быть атакованы и устройства на базе Windows.
По данным BleepingComputer, инфраструктура операции SEXi не имеет каких-либо особых характеристик. В заметках о выкупе содержится лишь сообщение с призывом скачать приложение Session для связи с вымогателями по указанному адресу. Все заметки о выкупе имеют один и тот же контактный адрес в Session, то есть каждая атака не уникальна.
