En los últimos meses, un nuevo tipo de ransomware, apodado "SEXi", ha comenzado a hacer estragos en varios países de América Latina. Este malware de secuestro de datos ha afectado tanto a grandes corporaciones como a usuarios individuales, llevando a un aumento significativo en la preocupación sobre la seguridad cibernética en la región. IxMetro Powerhost, un proveedor chileno de centros de datos y servicios de hosting, ha sufrido un ataque de este nuevo grupo de ransomware llamado SEXi.
El proveedor chileno de centros de datos y servicios de hosting, IxMetro Powerhost, fue blanco de un ciberataque perpetrado por una nueva banda de ransomware llamada SEXi. Este grupo delictivo logró cifrar los servidores VMware ESXi y las copias de seguridad de la compañía, esenciales para el alojamiento de servidores privados virtuales.
PowerHost, que opera centros de datos y ofrece servicios de interconectividad y alojamiento en EE. UU., Sudamérica y Europa, enfrentó este incidente crítico cuando su división chilena, IxMetro, alertó a sus clientes sobre el ataque ocurrido en la madrugada del sábado 30 de marzo de 2024. Como resultado, los clientes que dependían de estos servidores para alojar sus sitios web o servicios se encontraron sin servicio, mientras la empresa trabajaba en la restauración de terabytes de datos desde las copias de seguridad cifradas.
En su última comunicación, PowerHost pidió disculpas a sus clientes y advirtió que no había sido posible restaurar completamente los servidores afectados debido al cifrado de las copias de seguridad.
Durante las negociaciones con los criminales cibernéticos para obtener una clave de descifrado, la banda de ransomware demandó el pago de dos bitcoins por cada víctima afectada. Según el CEO de PowerHost, esto sumó un total aproximado de 140 millones de dólares. Para aquellos clientes de VPS que aún poseían el contenido de su sitio web y estaban afectados por el ataque, la empresa ofreció configurar un nuevo VPS para ayudarles a restablecer sus sitios en línea lo antes posible.
"Desde el principio del problema, hemos estado en contacto y colaborado con varias agencias de seguridad en varios países para determinar si estaban al tanto de este ransomware. Toda la información que hemos recopilado indica que se trata de nuevas variantes con un nivel de daño muy alto. Personalmente, negocié con el secuestrador, que exigía una cantidad exorbitante de bitcoins por cliente: 2 BTC por cada uno, lo que sumaba unos 140 millones. Sin embargo, incluso si pudiéramos reunir la cantidad necesaria, ¿realmente nos ayudaría? La recomendación unánime de todos los organismos encargados de hacer cumplir la ley es no negociar, ya que en más del 90% de los casos los delincuentes simplemente desaparecen después del pago".
Comunicado de Ricardo Rubem, director general de PowerHost.
También te podrá interesar: Hackeo a Coppel: ¿Se Eliminaron Deudas de Usuarios?
Archivos de máquinas virtuales cifrados con extensión .SEXi
El nuevo ransomware SEXi añade la extensión .SEXi a los archivos cifrados y genera notas de rescate denominadas SEXi.txt.
Hasta el momento, se ha observado que este ransomware ataca exclusivamente a servidores VMware ESXi, razón por la cual los operadores han optado por el nombre 'SEXi', que es un juego de palabras con 'ESXi'.
La infraestructura detrás de la operación de ransomware no presenta características particulares actualmente. Las notas de rescate simplemente instruyen a las víctimas a descargar la aplicación de mensajería Session y contactar a los atacantes mediante la dirección proporcionada.
Aunque no se ha encontrado una muestra del cifrador de ransomware SEXi, el instructor de SANS, Will Thomas, ha identificado otras variantes que han estado en uso desde febrero de 2024. Estas incluyen los nombres SOCOTRA, FORMOSA y LIMPOPO, y el cifrador LIMPOPO añade la extensión .LIMPOPO a los archivos cifrados.
Los nombres de estas variantes son curiosos: SOCOTRA es una isla de Yemen, FORMOSA era una república que existió brevemente en la isla de Taiwán en 1895, y LIMPOPO es una provincia en Sudáfrica. Las notas de rescate para estas variantes y los ataques SEXi comparten el mismo ID de contacto de la sesión, lo que indica que no hay personalización en las notas de rescate para las distintas campañas.
En la muestra de LIMPOPO que compartió Thomas, se reveló que fue creada utilizando el código fuente filtrado del ransomware Babuk, que ha sido empleado por varias bandas de ransomware para desarrollar cifradores ESXi.
Will Thomas descubrió cifradores de Windows adicionales vinculados a esta operación de ransomware, creados a partir del código fuente filtrado de LockBit 3.0, también conocido como LockBit Black. Este código fue divulgado por un desarrollador descontento con el liderazgo de la banda de ransomware.
Los nuevos cifradores de Windows, utilizados en las campañas FORMOSA y SOCOTRA, presentan notas de rescate que difieren ligeramente de las versiones para ESXi. Estas notas advierten que los datos han sido sustraídos y serán publicados si no se realiza el pago del rescate. "Hemos extraído todos sus datos valiosos. Los publicaremos en la web oscura muy pronto", señala una de las notas de rescate de Windows.
Nota de rescate de SEXi
Te podrá interesar: Evita el Pago de Ransomware: Riesgos del Rescate
En conclusión, la aparición de nuevas variantes de ransomware como SEXi, junto con el uso innovador de código fuente filtrado de operaciones conocidas como LockBit 3.0, destaca la constante evolución y sofisticación en el panorama de amenazas cibernéticas. Las organizaciones deben permanecer vigilantes y proactivas, fortaleciendo sus defensas y preparándose para respuestas rápidas a incidentes de seguridad para mitigar los riesgos asociados con estos ataques.
A medida que los ciberdelincuentes continúan adaptándose y mejorando sus técnicas, la importancia de una ciberseguridad robusta y de una estrategia de recuperación efectiva nunca ha sido más crítica. Esto no solo ayuda a proteger la información valiosa, sino que también asegura la continuidad operativa frente a las crecientes amenazas de la cibercriminalidad.