Le géant de la photographie et de la photo personnalisée Shutterfly a subi une attaque de ransomware Conti qui aurait crypté des milliers d’appareils et volé des données d’entreprise.
Bien que beaucoup associent Shutterfly à leur site Web, les services liés à la photographie de l’entreprise s’adressent aux clients grand public, aux entreprises et à l’éducation à travers diverses marques telles que GrooveBook, BorrowLenses, Shutterfly.com, Snapfish et Lifetouch.
Le site Web principal peut être utilisé pour télécharger des photos afin de créer des livres photo, des articles de papeterie personnalisés, des cartes de vœux, des cartes postales, etc.
Shutterfly subit une attaque de ransomware Conti
Vendredi, une source a déclaré à EZpublish-france.fr que Shutterfly avait subi une attaque de ransomware il y a environ deux semaines par le gang Conti, qui prétend avoir chiffré plus de 4 000 appareils et 120 serveurs VMware ESXi.
Bien que EZpublish-france.fr n’ait pas vu les négociations pour l’attaque, on nous dit qu’elles sont en cours et que le gang du ransomware exige des millions de dollars en rançon.
Avant que les gangs de ransomware ne chiffrent les appareils sur les réseaux d’entreprise, ils se cachent généralement à l’intérieur pendant des jours, voire des semaines, volant des données et des documents d’entreprise. Ces documents sont ensuite utilisés comme levier pour forcer une victime à payer une rançon sous la menace qu’ils soient rendus publics ou vendus à d’autres pirates.
Conti a créé une page privée de fuite de données Shutterfly contenant des captures d’écran de fichiers prétendument volés lors de l’attaque du ransomware, dans le cadre de cette tactique de » double extorsion « . Les attaquants menacent de rendre cette page publique si une rançon n’est pas payée.
EZpublish-france.fr a été informé que ces captures d’écran comprenaient des accords juridiques, des informations de compte bancaire et marchand, des informations de connexion pour les services d’entreprise, des feuilles de calcul et ce qui semble être des informations client, y compris les quatre derniers chiffres des cartes de crédit.
Conti prétend également avoir le code source de la boutique Shutterfly, mais il n’est pas clair si le gang de ransomware signifie Shutterfly.com ou un autre site Web.
Après avoir contacté Shutterfly vendredi au sujet de l’attaque, BleepingCompuer a reçu une déclaration confirmant l’attaque du ransomware tard dimanche soir.
Cette déclaration, reproduite dans son intégralité ci-dessous, dit que le Shutterfly.comLes sites , Snapfish, TinyPrints ou Spoonflower n’ont pas été affectés par l’attaque. Cependant, leur réseau d’entreprise, Lifetouch, BorrowLeneses et Groovebook avait interrompu les services.
« Shutterfly, LLC a récemment subi une attaque de ransomware sur des parties de notre réseau. Cet incident n’a pas eu d’impact sur nos sites Shutterfly.com, Snapfish, TinyPrints ou Spoonflower. Cependant, des parties de nos activités Lifetouch et BorrowLenses, Groovebook, la fabrication et certains systèmes d’entreprise ont Nous avons fait appel à des experts tiers en cybersécurité, informé les forces de l’ordre et travaillé sans relâche pour résoudre l’incident.
« Dans le cadre de notre enquête en cours, nous évaluons également l’ensemble des données qui pourraient avoir été affectées. Nous ne stockons pas les informations de carte de crédit, de compte financier ou les numéros de sécurité sociale de nos Shutterfly.com, Snapfish, Lifetouch, TinyPrints , BorrowLenses ou clients Spoonflower, et donc aucune de ces informations n’a été affectée dans cet incident. Cependant, comprendre la nature des données qui peuvent avoir été affectées est une priorité clé et cette enquête est en cours. Nous continuerons à fournir des mises à jour le cas échéant . » – Volet.
Alors que Shutterfly déclare qu’aucune information financière n’a été divulguée, EZpublish-france.fr a appris que l’une des captures d’écran contenait les quatre derniers chiffres des cartes de crédit.
EZpublish-france.fr a contacté Shutterfly à propos de cette capture d’écran mais n’a pas eu de réponse pour le moment.
Le gang des ransomwares Conti
Conti est une opération de ransomware qui serait exploitée par un groupe de piratage russe connu pour d’autres infections de logiciels malveillants notoires, telles que Ryuk, TrickBot et BazarLoader.
Cette opération fonctionne comme un Ransomware-as-a-Service, où l’équipe principale développe le ransomware, gère les sites de paiement et de fuite de données, et négocie avec les victimes. Ils recrutent ensuite des « affiliés » qui pénètrent dans le réseau de l’entreprise, volent des données et chiffrent les appareils.
Dans le cadre de cet arrangement, les paiements de rançon sont répartis entre le groupe central et l’affilié, l’affilié recevant généralement 70 à 80 % du montant total.
Conti viole généralement un réseau après qu’un appareil d’entreprise est infecté par les infections de logiciels malveillants BazarLoader ou TrickBot, qui fournissent un accès à distance au groupe de piratage.
Une fois qu’ils ont accès à un système interne, ils se propagent sur le réseau, collectent des données et déploient le ransomware.
Conti est connu pour ses attaques contre d’autres organisations de premier plan dans le passé, notamment le Health Service Executive (HSE) et le Department of Health (DoH) d’Irlande, la ville de Tulsa, les écoles publiques du comté de Broward et Advantech.
En raison de l’activité accrue du gang de cybercriminalité, le gouvernement américain a récemment publié un avis sur les attaques de ransomware Conti.