Posté le décembre 28, 2021 à 18:12
LE STUDIO DE PHOTOGRAPHIE NUMÉRIQUE SHUTTERFLY VICTIME D’UNE ATTAQUE PAR RANSOMWARE
Shutterfly, un studio de photographie numérique, est la plus récente victime d’une attaque par ransomware. L’incident s’est produit dimanche, et l’entreprise a confirmé qu’une violation avait eu lieu.
L’attaque par ransomware a été révélée par Bleeping Computer. La publication a indiqué que l’entreprise avait été ciblée par le groupe Conti ransomware. C’est ce qu’affirme une source interne ayant connaissance de l’affaire.
Shutterfly signale une attaque par ransomware
Le studio de photographie numérique a confirmé les détails de cette attaque. La société a déclaré que l’attaque avait affecté certaines parties de ses opérations. Les parties affectées comprenaient BorrowLenses et Lifetouch.
Au cours de cette attaque, certaines des autres divisions touchées comprenaient Groove book, la division de fabrication et les structures d’entreprise de la firme. En outre, la société a déclaré qu’elle était en contact avec les forces de l’ordre et qu’elle avait signalé la violation.
L’entreprise de photographie numérique a déjà engagé une société de cybersécurité pour examiner l’incident. Cette société évaluera l’ampleur de la violation et comprendra les principales données compromises par les attaquants.
Dans le rapport, Shutterfly note : « Dans le cadre de l’enquête en cours, nous évaluons également la portée complète des données qui ont pu être affectées. Nous ne stockons pas les informations relatives aux cartes de crédit, aux comptes financiers ou aux numéros de sécurité sociale de nos clients Shutterfly.com, Snapfish, Lifetouch, TinyPrints, BorrowLenses ou Spoonflower, et donc aucune de ces informations n’a été touchée par cet incident ».
Cependant, l’entreprise note qu’il est essentiel de comprendre la nature des données affectées lors de cette violation. La société a assuré à ses clients que « comprendre la nature des données qui ont pu être affectées est une priorité essentielle et que l’enquête est en cours. Nous continuerons à fournir des mises à jour, le cas échéant. »
La société a également assuré à ses clients que la violation n’avait pas affecté toutes ses filiales. Elle a indiqué que les seuls secteurs qui n’avaient pas été touchés étaient Spoonflower, TinyPrints.com, Snapfish.com et Shutterfly.com.
Le rapport de Bleeping Computer indique que certains des données cruciaux que le groupe de ransomware Conti a obtenues lors de la violation ont déjà été divulgués sur Internet. Le groupe a publié ces données sur un site de fuite.
Bleeping Computer a également indiqué que la violation s’est produite il y a environ deux semaines. La violation a donné lieu à une demande de rançon, le groupe de ransomware exigeant le paiement d’une somme se chiffrant en millions. Par conséquent, la fuite d’une partie des données obtenues pourrait montrer que Shutterfly n’a pas encore répondu à la demande de rançon.
Le groupe de ransomware Conti cherche à se développer
Le groupe de ransomware Conti est l’un des attaquants les plus redoutés dans le domaine de la cybersécurité. La semaine dernière, des recherches menées par Advanced Intelligence, une société de cybersécurité, ont révélé que le groupe de ransomware Conti exploitait le serveur VMware vCenter. Le groupe exploitait ce serveur par le biais de vulnérabilités dans Log4j.
Le rapport d’Advanced Intelligence indique également avoir découvert plusieurs membres de ce groupe de ransomware discutant des moyens d’exploiter la vulnérabilité de Log4j. C’est la première fois qu’un groupe de hackers discute des moyens d’exploiter la vulnérabilité dans Log4j.
La société de cybersécurité a également indiqué que l’exploitation de cette vulnérabilité était déjà entrée dans la phase de test, le groupe de ransomware ayant examiné de multiples possibilités. Le rapport indique que l’exploitation a contribué à « de multiples cas d’utilisation par lesquels le groupe Conti a testé les possibilités d’utilisation de l’exploit Log4J2. »
Advanced Intelligence a également fait part de ses recherches sur le montant des gains réalisés par le groupe de ransomware Conti. Les données ont montré que le groupe avait gagné plus de 150 millions de dollars au cours des six derniers mois.
Le groupe a commencé à s’intéresser activement à Log4J le 1er novembre. C’est à ce moment-là que le groupe a commencé à chercher de nouveaux vecteurs d’attaque. Pendant tout le mois de novembre, le groupe de ransomware a configuré son infrastructure en quête d’expansion. Le 12 décembre, il avait choisi Log4Shell comme l’un des systèmes à exploiter. Au milieu du mois, le groupe a commencé des attaques ciblées sur les réseaux vCenter en vue d’un mouvement latéral.
La persistance du groupe dans ses attaques par ransomware a attiré l’attention du FBI et du CISA. En septembre, les deux organismes ont déclaré avoir enregistré plus de 400 attaques liées au groupe ransomware Conti. Ces attaques visaient des entreprises aux États-Unis et dans le monde entier. Le FBI a noté que Conti est lié à des attaques de ransomware sur au moins 290 entreprises aux États-Unis.
Le groupe est également populaire pour lancer des attaques contre des établissements de santé. Le 14 mai de cette année, le groupe a prévu de lancer une attaque par ransomware contre le Health Service Executive d’Irlande. Il a également lancé une série d’attaques contre des écoles et des agences gouvernementales.