Shutterfly, une plateforme de vente au détail en ligne et de fabrication de photographies, fait partie des dernières victimes du rançongiciel Clop.
Au cours des derniers mois, le gang de rançongiciels Clop a exploité une vulnérabilité de l’utilitaire de transfert de fichiers MOVEit pour violer des centaines d’entreprises afin de voler leurs données et de tenter de les extorquer.
Shutterfly propose des services liés à la photographie aux consommateurs, aux entreprises et à l’éducation par le biais de diverses marques, notamment Shutterfly.com, BorrowLenses, GrooveBook, Snapfish et Lifetouch.
Lors d’attaques de rançongiciels, les pirates accèdent à un réseau d’entreprise et volent des données et des fichiers au fur et à mesure qu’ils se propagent dans le système. Une fois qu’ils ont accès à un contrôleur de domaine Windows, et après avoir récolté toutes les données précieuses, ils déploient leur ransomware pour chiffrer tous les périphériques réseau.
Shutterfly : sécurité des données des clients et des employés
Cette semaine, le gang de rançongiciels Clop a publié le nom de Shutterfly sur son site de fuite de données, parmi d’autres sociétés qu’il a ciblées, en grande partie via la vulnérabilité MOVEit SQL Injection, suivie sous le nom de CVE-2023-34362.
« Shutterfly peut confirmer qu’elle était l’une des nombreuses entreprises touchées par la vulnérabilité MOVEit. L’unité commerciale de Shutterfly, Shutterfly Business Solutions (SBS), a utilisé la plate-forme MOVEit pour certaines de ses opérations », a confirmé un porte-parole de Shutterfly à Breachtrace .
« Après avoir pris connaissance de la vulnérabilité au début du mois de juin, la société a rapidement pris des mesures, mettant les systèmes pertinents hors ligne, implémentant les correctifs fournis par MOVEit et commençant un examen médico-légal de certains systèmes avec l’aide d’entreprises médico-légales de premier plan. »
La société n’a pas commenté le montant de la demande de rançon, mais déclare que les données des clients et des employés sont en sécurité.
« Après une enquête approfondie avec l’aide d’une société de criminalistique tierce de premier plan, nous n’avons aucune indication que les données des consommateurs Shutterfly.com, Snapfish, Lifetouch ou Spoonflower ni les informations sur les employés aient été affectées par la vulnérabilité MOVEit. »
En mars 2022, Shutterfly avait révélé avoir été touché par une attaque de rançongiciel Conti survenue en décembre 2021. Au moment de cette attaque, une source a informé Breachtrace que Conti avait chiffré plus de 4 000 appareils et 120 serveurs VMware ESXi appartenant à Shutterfly.
Des centaines de personnes touchées par les vulnérabilités MOVEit
En juin, Clop a déclaré à Breachtrace qu’en exploitant cette faille, il avait piraté des serveurs appartenant à « des centaines d’entreprises » pour voler des données, ce qui est évident pour un nombre important d’organisations qui ont jusqu’à présent révélé avoir été piratées lors de la frénésie de piratage MOVEit de Clop.
Certains noms éminents comme la multinationale pétrolière et gazière britannique Shell, Deutsche Bank, l’Université de Géorgie (UGA) et le système universitaire de Géorgie (USG), UnitedHealthcare Student Resources (UHSR), Heidelberger Druck et Landal Greenparks ont depuis confirmé à Breachtrace qu’ils ont été touchés par les attaques.
Parmi les autres organisations qui ont déjà divulgué des violations de MOVEit Transfer, citons Zellis (et ses clients BBC, Boots, Aer Lingus et le HSE irlandais), Ofcam, le gouvernement de la Nouvelle-Écosse, l’État américain du Missouri, l’État américain de l’Illinois, l’Université de Rochester, l’American Board of Internal Medicine, BORN Ontario, SOVOS [1, 2] et Extreme Networks.
Plus tôt, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a également révélé que plusieurs agences fédérales américaines avaient été violées, selon un rapport de CNN. Deux entités du Département américain de l’énergie (DOE) ont également été compromises, selon Federal News Network.
En juin, les clients de MOVEit Transfer ont été invités à corriger une faille d’injection SQL distincte (suivie sous le nom de CVE-2023-35708), pour laquelle des exploits PoC avaient fait surface en ligne.
La semaine dernière, MOVEit a résolu une autre faille critique d’injection SQL (suivie sous le nom de CVE-2023-36934) et a averti les clients de corriger leurs applications.
Les clients utilisant l’utilitaire MOVEit File Transfer doivent s’assurer que leurs instances sont à jour et faire attention à toute nouvelle vulnérabilité qui pourrait être exploitée dans la nature.
Breachtrace continue de surveiller et de couvrir les incidents ainsi que les avis de vulnérabilité liés au programme.