Shutterfly, uma plataforma de varejo online e de fabricação de fotografia, está entre as vítimas mais recentes atingidas pelo ransomware Clop.
Nos últimos meses, a gangue do ransomware Clop tem explorado uma vulnerabilidade na utilidade de transferência de arquivos MOVEit para violar centenas de empresas, roubar seus dados e tentar extorsão contra elas.
A Shutterfly oferece serviços relacionados à fotografia para consumidores, empresas e educação através de várias marcas, incluindo Shutterfly, BorrowLenses, GrooveBook, Snapfish e Lifetouch.
Durante os ataques de ransomware, os atores da ameaça obtêm acesso a uma rede corporativa e roubam dados e arquivos à medida que se espalham pelo sistema.
Uma vez que obtêm acesso a um controlador de domínio Windows, e após coletar todos os dados valiosos, eles lançam seu ransomware para codificar todos os dispositivos da rede.
Nesta semana, a gangue do ransomware Clop publicou o nome da Shutterfly em seu site de vazamento de dados, entre outras empresas que tem sido o alvo, em grande parte devido à vulnerabilidade de injeção SQL do MOVEit, identificada como
CVE-2023-34362
.
"A Shutterfly pode confirmar que foi uma das várias empresas impactadas pela vulnerabilidade do MOVEit.
A unidade de negócios corporativos da Shutterfly, Shutterfly Business Solutions (SBS), usou a plataforma MOVEit para algumas de suas operações", confirmou um porta-voz da Shutterfly para o BleepingComputer.
"Após tomar conhecimento da vulnerabilidade no início de junho, a empresa agiu rapidamente, desativando sistemas relevantes, implementando patches fornecidos pela MOVEit e iniciando uma revisão forense de alguns sistemas com a ajuda de empresas forenses de ponta".
A empresa não comentou sobre o valor do resgate exigido, mas afirmou que os dados dos clientes e dos funcionários estão seguros.
"Após uma investigação completa com a assistência de uma empresa forense terceirizada líder, não temos indícios de que qualquer dado de consumidor da Shutterfly, Snapfish, Lifetouch, nem Spoonflower, nem qualquer informação de funcionários tenham sido afetados pela vulnerabilidade do MOVEit.”
Em março de 2022, a Shutterfly divulgou que foi atingida por um ataque de ransomware Conti que ocorreu em dezembro de 2021.
Na época desse ataque, uma fonte informou ao BleepingComputer que a Conti havia encriptado mais de 4.000 dispositivos e 120 servidores VMware ESXi pertencentes à Shutterfly.
Em junho, o Clop informou ao BleepingComputer que, ao explorar essa falha, violou servidores pertencentes a “centenas de empresas” para roubar dados, o que é evidente pelo grande número de organizações que até agora divulgaram a violação na sequência de hacking do MOVEit pelo Clop.
Alguns nomes proeminentes, como a multinacional britânica de petróleo e gás, Shell, Deutsche Bank, a Universidade da Geórgia (UGA) e o Sistema Universitário da Geórgia (USG), Recursos Estudantis da UnitedHealthcare (UHSR), Heidelberger Druck e Landal Greenparks, confirmaram ao BleepingComputer que foram impactados nos ataques.
Outras organizações que já divulgaram violações do MOVEit Transfer incluem Zellis (e seus clientes BBC, Boots, Aer Lingus e HSE da Irlanda), Ofcam, o governo da Nova Escócia, o estado americano de Missouri, o estado americano de Illinois, a Universidade de Rochester, o Conselho Americano de Medicina Interna, BORN Ontario, SOVOS e Extreme Networks.
Anteriormente, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) também revelou que várias agências federais dos EUA foram violadas, segundo um relatório da CNN.
Duas entidades do Departamento de Energia dos EUA (DOE) também foram comprometidas, de acordo com a Federal News Network.
Em junho, os clientes do MOVEit Transfer foram instigados a remediar um defeito separado de injeção SQL (rastreado como
CVE-2023-35708
), para o qual surgiram exploits PoC online.
Na semana passada, o MOVEit resolveu mais uma falha crítica de injeção SQL (rastreada como
CVE-2023-36934
) e alertou os clientes para aplicarem patches em seus aplicativos.
Os clientes que usam a utilidade de transferência de arquivos MOVEit devem garantir que suas instâncias estejam atualizadas e atentos a qualquer nova vulnerabilidade que possa ser explorada.
BleepingComputer continua a monitorar e cobrir incidentes, bem como avisos de vulnerabilidade relacionados ao programa.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...