Шифровальщик Conti поразил 120 серверов VMware ESXi в сетях Shutterfly

Шифровальщик Conti поразил 120 серверов VMware ESXi в сетях Shutterfly

Шифровальщик Conti поразил 120 серверов VMware ESXi в сетях Shutterfly

Калифорнийская компания Shutterfly, известный поставщик услуг по изготовлению фотоподарков, расследует атаку шифровальщика Conti, нарушившего работу ряда ее сервисов, в том числе в корпоративной сети и на производстве. Злоумышленники уверяют, что им удалось заразить свыше 4 тыс. устройств и 120 серверов с установленным софтом VMware ESXi.

По данным BleepingComputer, вредоносная атака на сети Shutterfly произошла две недели назад. Взломщики украли важные документы и учетные данные и потребовали многомиллионный выкуп за дешифратор.

Операторы Conti также создали персональную страницу Shutterfly со скриншотами содержимого файлов, якобы украденных у жертвы, и пригрозили публикацией в случае неуплаты выкупа.

 

На скриншотах, по слухам, представлены заключенные договоры, информация о банковских счетах, логины и пароли к корпоративным сервисам, расчетные документы и записи, похожие на клиентские данные. Авторы атаки также утверждают, что заполучили исходный код интернет-магазина Shutterfly — только непонятно, которого: компания ведет бизнес под разными брендами.

В ответ на запрос BleepingComputer представитель Shutterfly подтвердил факт атаки с использованием шифровальщика, подчеркнув, что она затронула только сайты Lifetouch, BorrowLeneses и Groovebook, а также производственные и некоторые корпоративные системы. Основной сайт, Shutterfly.com, и сервисы Snapfish, TinyPrints и Spoonflower не пострадали.

К расследованию привлечены сторонние эксперты, правоохранительные органы уже поставлены в известность. Примечательно, что в своем заявлении Shutterfly отметила, что не хранит финансовую информацию клиентов, поэтому такие данные не могли попасть в руки хакеров. В то же время источник BleepingComputer сообщил, что на одном из скриншотов, приготовленных для публикации, видны последние четыре цифры номера платежной карты.

Владельцы Conti предоставляют его в пользование по модели RaaS (Ransomware-as-a-Service, вымогатель как услуга). Засев зловреда зачастую осуществляется с помощью трояна TrickBot или загрузчика BazarLoader.

В прошлом году операторы шифровальщика провели атаку на ИТ-компанию Advantech, в этом — на Министерство здравоохранения Ирландии и компанию SAC Wireless (дочку Nokia). В настоящее время Conti, по оценке Group-IB, превосходит всех своих собратьев по агрессивности.

Банки Беларуси с 1 июля будут собирать геолокацию клиентов

С 1 июля банки в Беларуси обязаны использовать антифрод-системы и собирать цифровой отпечаток устройств клиентов. В этот набор данных войдут модель устройства, версия ПО, параметры браузера, настройки системы и геолокация.

О новых требованиях сообщает БЕЛТА со ссылкой на Национальный банк Беларуси. Регулятор утвердил стандарт «Банковская деятельность. Обеспечение информационной безопасности. Цифровой отпечаток устройства».

Логика простая: если мошенник украл пароль, это еще не значит, что он сможет спокойно войти в онлайн-банк и вывести деньги. При первом входе клиента в систему дистанционного обслуживания банк формирует эталонный цифровой отпечаток устройства.

Если позже кто-то попытается войти с другого устройства, с подозрительными параметрами или подмененной геолокацией, антифрод-система должна заметить несоответствие и остановить операцию.

Доступ в таком случае будет заблокирован до подтверждения со стороны клиента. При этом количество устройств не ограничено: у пользователя может быть несколько эталонных отпечатков, например для смартфона, ноутбука и планшета.

Отдельно подчеркивается, что банки должны не просто уведомить клиентов о сборе геолокации, но и получить их разрешение. Собранные данные будут храниться в зашифрованном виде, не передаваться третьим лицам и использоваться только для антифрод-проверок при входе в банковские сервисы.

По сути, белорусские банки переходят к более жесткой проверке не только того, кто вводит пароль, но и откуда, с какого устройства и в каких условиях это происходит. Для клиентов это может добавить лишний шаг подтверждения, зато мошенникам станет заметно сложнее выдавать свой вход за обычную активность владельца счета.

RSS: Новости на портале Anti-Malware.ru