Flash news

Ransomware Conti blocca attività di Shutterfly, dati in ostaggio anche su forum

Shutterfly, un’azienda specializzata in foto e fotografie personalizzate, è stata colpita dal ransomware Conti, che avrebbe bloccato migliaia di dispositivi e rubato dati aziendali.

Molti utenti associano Shutterfly ai loro siti web (tramite API). Offre servizi relativi alla fotografia a consumatori, aziende e scuole attraverso i marchi GrooveBook, Snapfish, BorrowLenses, Shutterfly.com e Lifetouch. Il sito ufficiale consente agli utenti di caricare immagini per realizzare album fotografici, biglietti di auguri, cancelleria personalizzata, cartoline e altro ancora.

Secondo una fonte, Shutterfly è stato colpito dalla banda Conti circa due settimane fa. Il gruppo Conti afferma di aver crittografato circa 4.000 dispositivi e 120 server VMware ESXi. Non ci sono segnali di trattative per quanto riguarda l’attacco, ma è stato riferito che sono in corso e il gruppo ransomware sta chiedendo il riscatto, nell’ordine di cifre del milione di dollari.

Prima di crittografare i sistemi sulle reti aziendali, i gruppi di ransomware spesso rimangono silenti durante l’attacco, creando una persistenza nei sistemi, per giorni, se non settimane, prendendo dati e documenti aziendali. Vengono quindi utilizzati come leva per persuadere la vittima a pagare un riscatto con la minaccia di essere divulgati pubblicamente o venduti ad altri hacker. 

Come parte di questa strategia di “doppia estorsione”, Conti ha creato una pagina segreta di violazione dei dati Shutterfly con schermate di file presumibilmente esfiltrati durante l’attacco ransomware. Se non viene pagato un riscatto, gli aggressori minacciano di rendere pubblica questa pagina.

Secondo i rapporti, tra gli screenshot figurano accordi legali, informazioni sui conti bancari e commerciali, password di accesso per i servizi aziendali, fogli di calcolo e quelle che sembrano essere informazioni sui clienti, inclusi gli ultimi quattro numeri della carta di credito. Conti sostiene anche di avere il codice sorgente per lo store online dell’azienda. Tuttavia, non è chiaro se il gruppo ransomware si riferisca a Shutterfly.com o a un altro sito web affiliato.

Nel frattempo, dopo l’uscita di questa notizia (diffusa inizialmente da Bleeping Computer), su RaidForums è apparso un annuncio di dati rubati, con l’esposizione di una fotografia, presumibilmente come chiaro segnale verso Charles Carmakal, CTO responsabile di FireEye, nota società multinazionale di sicurezza informatica, che si può pensare stia portando avanti le indagini sull’attacco:

Dopo che la stampa ha informato Shutterfly dell’incidente venerdì, la società ha rilasciato una dichiarazione nella tarda serata di domenica confermando l’attacco ransomware:

“Shutterfly, LLC ha recentemente subito un attacco ransomware su parti della nostra rete. Questo incidente non ha avuto ripercussioni sui nostri siti Shutterfly.com, Snapfish, TinyPrints o Spoonflower. Tuttavia, alcune parti della nostra attività Lifetouch e BorrowLenses, Groovebook, produzione e alcuni sistemi aziendali hanno subito interruzioni. Abbiamo coinvolto esperti di sicurezza informatica di terze parti, informato le forze dell’ordine e abbiamo lavorato 24 ore su 24 per affrontare l’incidente”. 

Comunicato ufficiale della società

Mentre Shutterfly afferma che non sono state ottenute informazioni finanziarie, è stato scoperto che uno degli screenshot conteneva le ultime quattro cifre delle carte di credito, quindi non è noto se altre informazioni, e forse più dannose, siano state rubate a prescindere dalle dichiarazioni della società.