14/05/2024
IT-Connect » Actualités » Actu Cybersécurité » Les serveurs VMware ESXi d’un hébergeur chiffrés par le nouveau ransomware SEXi !

VMware ESXi - Ransomware SEXi
Actu Cybersécurité

Les serveurs VMware ESXi d’un hébergeur chiffrés par le nouveau ransomware SEXi !

Florian BURNEL 0 commentaire

Un nouveau gang de ransomware surnommé SEXi est parvenu à compromettre l'infrastructure du fournisseur de services chilien IXMetro Powerhost ! Lors de cette attaque, les pirates ont chiffré des serveurs VMware ESXi ainsi que des sauvegardes ! Faisons le point.

PowerHost est un fournisseur de services spécialisés dans les centres de données et l'hébergement, implanté en Amérique du Sud, notamment avec sa division IXMetro présente au Chili, aux États-Unis, et en Europe.

Samedi 30 mars 2024, tôt en début de journée, IXMetro a subi une cyberattaque lors de laquelle les pirates sont parvenus à chiffrer plusieurs serveurs VMware ESXi notamment utilisés pour héberger des serveurs privés virtuels de clients (VPS). De ce fait, les services hébergés sont inaccessibles.

Les équipes d'IXMetro cherchent à restaurer les données de leurs serveurs et de leurs clients à partir de précédentes sauvegardes, mais la tâche ne s'annonce pas simple : les sauvegardes sont également chiffrées. Ricardo Rubem, le CEO de PowerHost, affirme qu'il a essayé de négocier avec les cybercriminels, car il a envisagé de payer la rançon : "J'ai négocié avec le pirate, qui a exigé un montant exorbitant de bitcoins par client : 2 BTC pour chacun, soit environ 140 millions de dollars.", précise-t-il.

Le ransomware SEXi

Le gang de ransomware SEXi serait une menace relativement récente et cette attaque serait son premier "gros coup" ! D'après le chercheur en sécurité Germán Fernández, lorsque des fichiers sont chiffrés par ce ransomware, l'extension ".SEXi" est utilisée, et ceux-ci sont accompagnés par une note de rançon nommée "SEXi.txt".

D'après le site BleepingComputer, ce gang mène des attaques depuis mars 2023, mais cela reste à confirmer. Ce qui est certain, c'est que les cybercriminels du groupe SEXi cible seulement les hyperviseurs VMware ESXi, ce qui en fait une menace supplémentaire pour les infrastructures de virtualisation basées sur la solution VMware by Broadcom.

Pour le moment, nous ignorons si ce gang de ransomware applique le principe de la double extorsion, car à l'heure actuelle, ce gang ne semble pas avoir de site dédié aux fuites de données.

author avatar
Florian BURNEL Co-founder
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Nouveau Outlook - Synchro e-mails identifiants chez Microsoft

Le nouvel Outlook copie vos données vers les serveurs Microsoft, y compris pour les comptes Gmail

Florian BURNEL 3
France quel est le niveau de maturité cyber des collectivités en 2023

France : quel est le niveau de maturité cyber des collectivités en 2023 ?

Florian BURNEL 0

Oracle publie un patch de 113 correctifs dont 20 pour Java !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.