Recientemente ha surgido un nuevo ransomware llamado SEXI RANSOMWARE, una variante de Lockbit3. Se cree que su origen está relacionado con el robo del código fuente de esta familia de malware.
A pesar de estar activo solo durante unas pocas semanas, SEXI RANSOMWARE ha causado estragos en numerosas empresas en todo el mundo. Su objetivo principal son los servidores ESX, cifrando todos los archivos vmdk, vmx y otros componentes esenciales de la infraestructura de servidores.
Además de la encriptación, este ransomware destruye las copias de seguridad. Durante el último fin de semana, tanto las copias en disco como las almacenadas en cintas han sido eliminadas (las cintas se encontraban en las librerías).
Para evitar ser víctima de SEXI RANSOMWARE, considera las siguientes medidas:
Seguridad de Acceso: Ten precaución y cuidado con las conexiones SSH y los servicios expuestos. Limita el acceso a los servidores ESXi solo a usuarios autorizados.
Aislamiento de Entornos: Mantén aislado el entorno VMWare. Limita la comunicación entre servidores y segmenta la red para minimizar el impacto en caso de un ataque.
Sistema de Copias de Seguridad Robusto: Implementa un sistema de copias inalterables y desconectadas. Sigue la regla 3-2-1: tres copias de tus datos, en dos medios diferentes, con una copia fuera del sitio.
Caso Conocido: IxMetro Powerhost
Recientemente, IxMetro Powerhost, un proveedor chileno de centros de datos y hosting, fue víctima de un ataque por parte de SEXI RANSOMWARE. Sus servidores VMware ESXi y las copias de seguridad fueron cifrados, afectando la operatividad de numerosos sitios web y servicios alojados. La empresa está luchando por restaurar terabytes de datos desde las copias de seguridad.
La amenaza de ransomware sigue siendo una preocupación crítica para las organizaciones. Mantente alerta y toma medidas preventivas para proteger tus sistemas y datos.