Шифровальщик Conti поразил 120 серверов VMware ESXi в сетях Shutterfly

Татьяна Никитина 27 Декабря 2021 - 20:01

...

Шифровальщик Conti поразил 120 серверов VMware ESXi в сетях Shutterfly

Калифорнийская компания Shutterfly, известный поставщик услуг по изготовлению фотоподарков, расследует атаку шифровальщика Conti, нарушившего работу ряда ее сервисов, в том числе в корпоративной сети и на производстве. Злоумышленники уверяют, что им удалось заразить свыше 4 тыс. устройств и 120 серверов с установленным софтом VMware ESXi.

По данным BleepingComputer, вредоносная атака на сети Shutterfly произошла две недели назад. Взломщики украли важные документы и учетные данные и потребовали многомиллионный выкуп за дешифратор.

Операторы Conti также создали персональную страницу Shutterfly со скриншотами содержимого файлов, якобы украденных у жертвы, и пригрозили публикацией в случае неуплаты выкупа.

На скриншотах, по слухам, представлены заключенные договоры, информация о банковских счетах, логины и пароли к корпоративным сервисам, расчетные документы и записи, похожие на клиентские данные. Авторы атаки также утверждают, что заполучили исходный код интернет-магазина Shutterfly — только непонятно, которого: компания ведет бизнес под разными брендами.

В ответ на запрос BleepingComputer представитель Shutterfly подтвердил факт атаки с использованием шифровальщика, подчеркнув, что она затронула только сайты Lifetouch, BorrowLeneses и Groovebook, а также производственные и некоторые корпоративные системы. Основной сайт, Shutterfly.com, и сервисы Snapfish, TinyPrints и Spoonflower не пострадали.

К расследованию привлечены сторонние эксперты, правоохранительные органы уже поставлены в известность. Примечательно, что в своем заявлении Shutterfly отметила, что не хранит финансовую информацию клиентов, поэтому такие данные не могли попасть в руки хакеров. В то же время источник BleepingComputer сообщил, что на одном из скриншотов, приготовленных для публикации, видны последние четыре цифры номера платежной карты.

Владельцы Conti предоставляют его в пользование по модели RaaS (Ransomware-as-a-Service, вымогатель как услуга). Засев зловреда зачастую осуществляется с помощью трояна TrickBot или загрузчика BazarLoader.

В прошлом году операторы шифровальщика провели атаку на ИТ-компанию Advantech, в этом — на Министерство здравоохранения Ирландии и компанию SAC Wireless (дочку Nokia). В настоящее время Conti, по оценке Group-IB, превосходит всех своих собратьев по агрессивности.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 14 Ноября 2025 - 14:08

Windows Бэкдоры Целевые атаки Таргетированные атаки Корпорации F6

Финансам и ретейлу от имени ФСБ РФ раздают бэкдор под видом КриптоПро CSP

В F6 фиксируют вредоносные рассылки на адреса российских ретейлеров, микрофинансовых учреждений, коллекторских агентств, страховых компаний. При открытии аттача предлагается загрузить СКЗИ КриптоПро, а на самом деле — Windows-бэкдор.

Поддельные имейл-сообщения написаны от имени ФСБ России. Получателя просят ознакомиться с рекомендациями на случай теракта либо в течение суток представить отчет о тренинге по противодействию информационным атакам.

Инициатором адресных рассылок, по данным экспертов, является кибергруппа, которую они называют CapFIX. Адреса отправителя фейковые — некое российское турагентство либо ИТ-компания.

Для открытия и корректного отображения вложенного PDF предлагается скачать КриптоПро CSP. Ссылка под вставленной кнопкой привязана к сайту, зарегистрированному полтора месяца назад (sed documents[.]com).

Отдаваемый RAR-архив, якобы с инсталлятором СКЗИ КриптоПро, устанавливает в систему x64-версию CapDoor.