Um grupo criminoso conhecido como Zestix tem oferecido à venda dados corporativos roubados de dezenas de empresas, provavelmente após invadir suas instâncias do ShareFile, Nextcloud e OwnCloud.
Segundo a empresa de inteligência em crimes cibernéticos Hudson Rock, o acesso inicial pode ter sido obtido por meio de credenciais coletadas por malwares do tipo info-stealer, como RedLine, Lumma e Vidar, instalados nos dispositivos dos funcionários.
Esses infostealers costumam ser distribuídos por campanhas de malvertising ou ataques do tipo clickjacking.
Esse tipo de malware normalmente visa dados armazenados em navegadores web (credenciais, cartões de crédito, informações pessoais), aplicativos de mensagens e carteiras de criptomoedas.
Criminosos que obtêm credenciais válidas conseguem acessar serviços — como plataformas de compartilhamento de arquivos — quando estes não contam com autenticação multifator (MFA).
No relatório recém divulgado, a Hudson Rock destaca que algumas das credenciais roubadas estavam disponíveis em bancos de dados criminosos há anos, indicando que as empresas não rotacionaram as senhas nem invalidaram sessões ativas por longos períodos.
A Hudson Rock afirma que o Zestix atua como initial access broker (IAB) em fóruns underground, vendendo acesso a plataformas corporativas em nuvem consideradas de alto valor.
Segundo a empresa de cibersegurança, os atacantes invadiram ambientes do ShareFile, Nextcloud e OwnCloud usados por organizações de diversos setores, incluindo aviação, defesa, saúde, serviços públicos, transporte coletivo, telecomunicações, jurídico, imobiliário e governo.
Ao analisar os logs dos infostealers em busca de URLs corporativas na nuvem (ShareFile, Nextcloud), o grupo usava nome de usuário e senha válidos para acessar os serviços de compartilhamento de arquivos sem proteção por MFA.
A Hudson Rock identificou os prováveis pontos de invasão ao correlacionar dados dos infostealers coletados em sua plataforma com imagens, metadados e informações públicas disponíveis.
Em pelo menos 15 casos analisados, a empresa confirmou que credenciais de funcionários para os serviços de armazenamento em nuvem foram capturadas por esses malwares.
É importante destacar que essa verificação foi unilateral e não há confirmação pública de violação de segurança por parte das empresas citadas.
Uma exceção pode ser a Iberia, embora seu recente comunicado não esteja necessariamente relacionado às descobertas da Hudson Rock.
O Zestix ofereceu volumes de dados roubados que variam de dezenas de gigabytes a vários terabytes.
Os arquivos supostamente incluem manuais de manutenção de aeronaves, dados de frotas, arquivos de defesa e engenharia, bancos de dados de clientes, registros médicos, esquemas de transporte coletivo, mapas LiDAR de serviços públicos, configurações de redes de provedores de internet, dados de projetos satelitais, código-fonte de ERP, contratos governamentais e documentos jurídicos.
Muitos desses arquivos expostos podem representar riscos significativos à segurança, à privacidade e à espionagem industrial das organizações, enquanto contratos governamentais expostos levantam preocupações relacionadas à segurança nacional.
A Hudson Rock também identificou um conjunto adicional de 30 vítimas vendidas pelo Zestix sob o codinome “Sentap”, porém, os pesquisadores não validaram essas informações da mesma forma.
Os especialistas alertam que, além das vítimas listadas, os dados de inteligência indicam que a exposição de dados em nuvem é um problema amplo e sistêmico, decorrente da falta de adoção de boas práticas de segurança pelas organizações.
Eles revelam ainda a existência de milhares de computadores infectados, incluindo dispositivos de empresas como Deloitte, KPMG, Samsung, Honeywell e Walmart.
A Hudson Rock informou que notificou o ShareFile e que também alertará Nextcloud e OwnCloud sobre essas exposições confirmadas para que as empresas possam tomar as medidas necessárias.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...