Servicios de Shutterfly interrumpidos por ataque de ransomware Conti

El gigante de la fotografía y la fotografía personalizada Shutterfly sufrió un ataque de ransomware Conti que supuestamente cifró miles de dispositivos y robó datos corporativos.

Si bien muchos asocian Shutterfly con su sitio web, los servicios de fotografía de la compañía están dirigidos a clientes consumidores, empresariales y educativos a través de varias marcas como GrooveBook, BorrowLenses, Shutterfly.com, Snapfish y Lifetouch.

El sitio web principal se puede utilizar para cargar fotos para crear álbumes de fotos, material de oficina personalizado, tarjetas de felicitación, postales y más.

Índice de contenidos
  1. Shutterfly sufre un ataque de ransomware Conti
  2. La banda de ransomware Conti

Shutterfly sufre un ataque de ransomware Conti

El viernes, una fuente le dijo a BleepingComputer que Shutterfly sufrió un ataque de ransomware hace unas dos semanas por parte de la banda Conti, que afirma haber cifrado más de 4.000 dispositivos y 120 servidores VMware ESXi.

Aunque BleepingComputer no ha visto las negociaciones para el ataque, se nos dice que están en curso en curso y que la banda de ransomware exige un rescate de millones de dólares.

Antes de que el ransomware encripte los dispositivos en las redes corporativas, generalmente se esconden adentro durante días, si no semanas, robando datos y documentos corporativos. Estos documentos se utilizan luego como palanca para obligar a la víctima a pagar un rescate con la amenaza de ser liberado públicamente o vendido a otros piratas informáticos.

Conti creó una página privada de filtración de datos de Shutterfly que contiene capturas de pantalla de archivos presuntamente robados durante el ataque de ransomware, como parte de esta táctica de "doble extorsión". Los atacantes amenazan con hacer pública esta página si no se paga un rescate.

Página de fuga de datos privados en el sitio web oscuro de Conti
Página de fuga de datos privados en el sitio web oscuro de Conti

A BleepingComputer se le dijo que estas capturas de pantalla incluyen acuerdos legales, información de cuentas bancarias y comerciales, credenciales de inicio de sesión para servicios corporativos, hojas de cálculo y lo que parece ser información del cliente, incluidos los últimos cuatro dígitos de las tarjetas de crédito.

Conti también afirma tener el código fuente de la tienda de Shutterfly, pero no está claro si la banda de ransomware se refiere a Shutterfly.com u otro sitio web.

Después de contactar a Shutterfly el viernes sobre el ataque, BleepingCompuer recibió un comunicado confirmando el ataque de ransomware el domingo por la noche.

Esta declaración, que se muestra en su totalidad a continuación, establece que los sitios Shutterfly.com, Snapfish, TinyPrints o Spoonflower no se vieron afectados por el ataque. Sin embargo, su red corporativa, Lifetouch, BorrowLeneses y Groovebook habían interrumpido sus servicios.

"Shutterfly, LLC sufrió recientemente un ataque de ransomware en partes de nuestra red. Este incidente no afectó nuestros sitios Shutterfly.com, Snapfish, TinyPrints o Spoonflower. Sin embargo, partes de nuestro negocio Lifetouch y BorrowLenses, Groovebook, producción y algunos sistemas corporativos encontró interrupciones. Contratamos a expertos en ciberseguridad de terceros, notificamos a las autoridades policiales y trabajamos las veinticuatro horas del día para abordar el incidente ".

"Como parte de nuestra investigación en curso, también estamos evaluando el alcance total de cualquier dato que pueda haber sido afectado. No almacenamos información de tarjetas de crédito, cuentas financieras o números de seguridad social de nuestro Shutterfly.com, Snapfish, Lifetouch., TinyPrints , BorrowLenses o Spoonflower, por lo que esta información no se vio afectada por este incidente. Sin embargo, comprender la naturaleza de los datos que pueden haberse visto afectados es una prioridad y la investigación está en curso. Continuaremos brindando las actualizaciones adecuadas ". - Folleto.

Si bien Shutterfly afirma que no se ha revelado información financiera, se le ha dicho a BleepingComputer que una de las capturas de pantalla contiene los últimos cuatro dígitos de las tarjetas de crédito, por lo que no está claro si hay más información más preocupante robada durante el ataque.

BleepingComputer se ha puesto en contacto con Shutterfly con respecto a esta captura de pantalla, pero no ha recibido una respuesta en este momento.

La banda de ransomware Conti

Conti es una operación de ransomware que se cree que es ejecutada por un grupo de hackers rusos conocido por otras notorias infecciones de malware, como Ryuk, TrickBot y BazarLoader.

Esto se hace como Ransomware-as-a-Service, donde el equipo central desarrolla el ransomware, administra los sitios de pago y pérdida de datos y negocia con las víctimas. Luego reclutan "afiliados" que piratean la red corporativa, roban datos y cifran dispositivos.

Como parte de este acuerdo, los pagos de rescate se dividen entre el grupo principal y el afiliado, y el afiliado generalmente recibe entre el 70 y el 80% del monto total.

Conti usualmente piratea una red después de que un dispositivo corporativo se infecta con las infecciones de malware BazarLoader o TrickBot, que brindan acceso remoto al grupo de piratas informáticos.

Una vez que obtienen acceso a un sistema interno, se distribuyen por la red, recopilan datos y distribuyen el ransomware.

Conti es conocido por sus ataques a otras organizaciones de alto perfil en el pasado, incluido el Health Service Executive (HSE) y el Departamento de Salud (DoH) de Irlanda, la ciudad de Tulsa, las escuelas públicas del condado de Broward y Advantech.

Debido a la creciente actividad de la banda de delitos informáticos, el gobierno de EE. UU. Emitió recientemente una advertencia sobre los ataques de ransomware Conti.

Descubre más contenido

Subir Change privacy settings