Fotoğraf ve kişiselleştirilmiş fotoğraf devi Shutterfly, binlerce cihazı şifrelediği ve kurumsal verileri çaldığı iddia edilen bir Conti fidye yazılımı saldırısına maruz kaldı.
Birçok kişi Shutterfly’ı web siteleriyle ilişkilendirse de, şirketin fotoğrafçılıkla ilgili hizmetleri GrooveBook, BorrowLenses gibi çeşitli markalar aracılığıyla tüketici, işletme ve eğitim müşterilerine yöneliktir. Shutterfly.com, Snapfish ve Lifetouch.
Ana web sitesi, fotoğraf albümleri, kişiselleştirilmiş kırtasiye malzemeleri, tebrik kartları, posta kartları ve daha fazlasını oluşturmak üzere fotoğraf yüklemek için kullanılabilir.
Shutterfly, Conti fidye yazılımı saldırısına uğradı
Cuma günü, bir kaynak BleepingComputer’a Shutterfly’ın yaklaşık iki hafta önce 4.000’den fazla cihazı ve 120 VMware ESXi sunucusunu şifrelediğini iddia eden Conti çetesi tarafından bir fidye yazılımı saldırısına uğradığını söyledi.
BleepingComputer saldırı için yapılan müzakereleri görmediyse de, bize onların olduğu söylendi. devam ediyor devam etmekte ve fidye yazılımı çetesinin fidye olarak milyonlarca dolar talep ettiğini.
Fidye yazılımı çeteleri kurumsal ağlardaki cihazları şifrelemeden önce, genellikle haftalarca olmasa da günlerce içeride gizlenerek kurumsal verileri ve belgeleri çalarlar. Bu belgeler daha sonra, kamuya açıklanacakları veya diğer bilgisayar korsanlarına satılacakları tehdidi altında bir kurbanı fidye ödemeye zorlamak için kaldıraç olarak kullanılır.
Conti, bu “çifte gasp” taktiğinin bir parçası olarak, fidye yazılımı saldırısı sırasında çalındığı iddia edilen dosyaların ekran görüntülerini içeren özel bir Shutterfly veri sızıntısı sayfası oluşturdu. Saldırganlar, fidye ödenmezse bu sayfayı herkese açık hale getirmekle tehdit ediyor.
BleepingComputer’a bu ekran görüntülerinin yasal anlaşmalar, banka ve tüccar hesap bilgileri, kurumsal hizmetler için giriş kimlik bilgileri, elektronik tablolar ve kredi kartlarının son dört hanesi de dahil olmak üzere müşteri bilgileri gibi görünen bilgileri içerdiği söylendi.
Conti ayrıca Shutterfly’ın mağazasının kaynak koduna sahip olduğunu iddia ediyor, ancak fidye yazılımı çetesinin Shutterfly.com veya başka bir web sitesi anlamına gelip gelmediği net değil.
Cuma günü saldırı hakkında Shutterfly ile iletişime geçtikten sonra, BleepingCompuer’a Pazar gecesi geç saatlerde fidye yazılımı saldırısını onaylayan bir açıklama gönderildi.
Aşağıda tamamı gösterilen bu ifade, Shutterfly.com, Snapfish, TinyPrints veya Spoonflower siteleri saldırıdan etkilenmedi. Ancak kurumsal ağları Lifetouch, BorrowLeneses ve Groovebook hizmetleri kesintiye uğratmıştı.
“Shutterfly, LLC yakın zamanda ağımızın bazı bölümlerine bir fidye yazılımı saldırısı yaşadı. Bu olay Shutterfly.com, Snapfish, TinyPrints veya Spoonflower sitelerimizi etkilemedi. Ancak Lifetouch ve BorrowLenses işimizin bazı bölümleri, Groovebook, üretim ve bazı kurumsal sistemlerimiz, Üçüncü taraf siber güvenlik uzmanlarıyla görüştük, kolluk kuvvetlerini bilgilendirdik ve olayı çözmek için gece gündüz çalışıyoruz.”
“Devam eden araştırmamızın bir parçası olarak, etkilenmiş olabilecek tüm verilerin tam kapsamını da değerlendiriyoruz. Kredi kartı, finansal hesap bilgileri veya Shutterfly.com, Snapfish, Lifetouch, TinyPrints’imizin Sosyal Güvenlik numaralarını saklamıyoruz. , BorrowLenses veya Spoonflower müşterileri ve dolayısıyla bu bilgilerin hiçbiri bu olaydan etkilenmedi. Ancak, etkilenmiş olabilecek verilerin yapısını anlamak önemli bir önceliktir ve bu araştırma devam etmektedir. Uygun olduğunda güncellemeleri sağlamaya devam edeceğiz ” – Shutterfly.
Shutterfly hiçbir finansal bilginin açıklanmadığını belirtirken, BleepingComputer’a ekran görüntülerinden birinin kredi kartlarının son dört hanesini içerdiği söylendi, bu nedenle saldırı sırasında çalınan daha fazla ve daha fazla ilgili bilgi olup olmadığı belirsiz.
BleepingComputer bu ekran görüntüsüyle ilgili olarak Shutterfly’a ulaştı ancak şu anda bir yanıt alamadı.
Conti fidye yazılımı çetesi
Conti Ryuk, TrickBot ve BazarLoader gibi diğer kötü niyetli kötü amaçlı yazılım bulaşmalarıyla tanınan bir Rus bilgisayar korsanlığı grubu tarafından yürütüldüğüne inanılan bir fidye yazılımı operasyonudur.
Bu operasyon, çekirdek ekibin fidye yazılımını geliştirdiği, ödeme ve veri sızıntısı sitelerini koruduğu ve kurbanlarla pazarlık yaptığı bir Hizmet Olarak Fidye Yazılımı olarak çalışır. Daha sonra şirket ağını ihlal eden, verileri çalan ve cihazları şifreleyen “bağlı şirketleri” işe alırlar.
Bu düzenlemenin bir parçası olarak, fidye ödemeleri çekirdek grup ve bağlı kuruluş arasında bölünür ve bağlı kuruluş genellikle toplam tutarın %70-80’ini alır.
Conti, kurumsal bir cihaza virüs bulaştıktan sonra genellikle bir ağı ihlal eder. BazarLoader veya TrickBot kötü amaçlı yazılım bulaşmaları, bilgisayar korsanlığı grubuna uzaktan erişim sağlar.
Dahili bir sisteme erişim sağladıklarında, ağ üzerinden yayılırlar, verileri toplarlar ve fidye yazılımını dağıtırlar.
Conti, geçmişte İrlanda’nın da dahil olduğu diğer yüksek profilli kuruluşlara yönelik saldırılarla tanınıyor. Sağlık Hizmetleri Yöneticisi (SEÇ) ve Sağlık Bakanlığı (DoH), Tulsa Şehri, Broward İlçe Devlet Okulları, ve ileri teknoloji.
Siber suç çetesinin artan faaliyeti nedeniyle, ABD hükümeti kısa süre önce bir Conti fidye yazılımı saldırılarına ilişkin tavsiye.