Si chiama SEXi il ransomware protagonista del blocco delle attività di diverse aziende in Sud America, a seguito di un attacco che ha crittografato alcuni server privati virtuali del provider cileno di data center e hosting IxMetro PowerHost.

Stando alle informazioni finora note, sembra che non ci siano tracce delle attività di SEXi antecedenti marzo 2023. Sembrerebbe inoltre che gli attacchi di cui si ha notizia abbiano colpito solo server VMWare ESXi, da cui l’origine del nome del gruppo. Proprio per questo motivo la notizia è degna di attenzione: conferma l’attendibilità degli allarmi che sono stati lanciati negli ultimi mesi sulla necessità di una maggiore protezione per i sistemi basati su Linux. Gli attaccanti finanziariamente motivati trovano nei sistemi ESXi (che non è un prodotto Linux, ma condivide con esso molte delle sue caratteristiche) un interesse particolare, perché è alla base delle macchine virtuali, dei dispositivi IoT e dei siti web. Colpire sistemi ESXi consente pertanto di colpire una platea vastissima.

Il caso di IxMetro, la costola cilena di PowerHost, dimostra come un attacco ben riuscito contro un provider possa avere effetti devastanti: i clienti che avevano i propri siti Web o servizi sui server colpiti da SEXi sono inattivi, mentre il service provider tenta di ripristinare terabyte di dati dai backup. Peraltro, PowerHost è attivo anche negli Stati Uniti e in Europa, ma fortunatamente queste due sedi non sono coinvolte nell’attacco.

Che cosa sta accadendo

Sabato mattina un attacco ransomware riuscito ha cifrato alcuni dei server VMware ESXi di IxMetro utilizzati per ospitare server privati virtuali dei clienti. L’avviso ai clienti di quanto accaduto è stato diramato il lunedì successivo.

Da allora IxMetro sta seguendo tutte le best practice del caso: ha denunciato l’attacco, sta collaborando attivamente con varie agenzie di sicurezza in vari paesi e sta tenendo aggiornati i clienti. Il problema è che le best practice avrebbero dovuto essere seguite anche nella fase preventiva, cosa che non è accaduta.

Innanzi tutto, perché non era attivo un monitoraggio di cybersecurity H24, 7 giorni su 7, quando è ben noto che gli attaccanti colpiscono spesso nel fine settimana o negli orari di chiusura degli uffici, sperando di agire indisturbati. In secondo luogo, perché non era attiva una strategia adeguata di backup con copie immutabili: a quanto pare il provider ha dovuto comunicare ai propri clienti che il ripristino dei server potrebbe non essere possibile poiché anche i backup sono stati crittografati.

L’unica via d’uscita, per i clienti colpiti dall’attacco che sono in possesso di copie dei contenuti dei loro siti web, è la configurazione (ovviamente gratuita) di un nuovo VPS in modo da poter tornare online. Il problema è per chi non ha provveduto da sé a una copia dei dati. A quanto pare, gli attaccanti avrebbero chiesto un riscatto in cambio del quale fornire la chiave di decrittazione: si parla di due bitcoin per ciascun cliente coinvolto, che secondo il CEO di PowerHost porterebbe a un ammontare di circa 140 milioni di dollari. Una cifra esorbitante, a fronte della quale non è garantito il mantenimento della promessa dei criminali informatici.

Indagini

Le indagini sono in corso e occorrerà del tempo per venirne a capo. Soprattutto perché parliamo di un ransomware nuovo, il cui codice non è ancora stato analizzato. Quello che si sa è che colpisce i sistemi ESXi e che si lascia dietro richieste di riscatto denominate SEXi.txt e cartelle crittografate con estensione .SEXi. Non è da escludere che il ransomware consenta di attaccare anche dispositivi Windows: in genere gli sviluppatori del cybercrime optano proprio per soluzioni multipiattaforma.

Infine, resta da capire se gli attaccanti applichino anche il modello della doppia estorsione, ossia se esfiltrino i dati prima di cifrarli, per poi chiedere un secondo riscatto per scongiurare la pubblicazione delle informazioni rubate.