Ένας ηθοποιός απειλών γνωστός ως Zestix προσφέρεται να πουλήσει εταιρικά δεδομένα που έχουν κλαπεί από δεκάδες εταιρείες πιθανόν μετά από παραβίαση των παρουσιών τους ShareFile, Nextcloud και OwnCloud.
Σύμφωνα με την εταιρεία πληροφοριών για το έγκλημα στον κυβερνοχώρο Hudson Rock, η αρχική πρόσβαση ενδέχεται να έχει αποκτηθεί μέσω διαπιστευτηρίων που συλλέγονται από κακόβουλο λογισμικό κλοπής πληροφοριών όπως το RedLine, το Lumma και το Vidar που έχουν αναπτυχθεί σε συσκευές εργαζομένων.
Οι τρεις infotealers συνήθως διανέμονται μέσω καμπανιών κακόβουλης διαφήμισης ή επιθέσεων ClickFix. Αυτός ο τύπος κακόβουλου λογισμικού στοχεύει συνήθως δεδομένα που αποθηκεύονται από προγράμματα περιήγησης ιστού (διαπιστευτήρια, πιστωτικές κάρτες, προσωπικές πληροφορίες), εφαρμογές ανταλλαγής μηνυμάτων και πορτοφόλια κρυπτονομισμάτων.
Ένας παράγοντας απειλής με έγκυρα διαπιστευτήρια μπορεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε μια υπηρεσία, όπως οι πλατφόρμες κοινής χρήσης αρχείων, όταν λείπει η προστασία πολλαπλών παραγόντων ελέγχου ταυτότητας (MFA).
Σε μια σημερινή αναφορά, ο Hudson Rock σημειώνει ότι ορισμένα από τα κλεμμένα διαπιστευτήρια που αναλύθηκαν υπάρχουν σε βάσεις δεδομένων εγκληματικών πράξεων εδώ και χρόνια, υποδεικνύοντας την αποτυχία εναλλαγής τους ή την ακύρωση ενεργών περιόδων σύνδεσης ακόμη και μετά από εκτεταμένες περιόδους.
Διαφημίζονται πολλαπλές παραβιάσεις
Η Hudson Rock λέει ότι η Zestix λειτουργεί ως μεσίτης αρχικής πρόσβασης (IAB) σε υπόγεια φόρουμ, πωλώντας πρόσβαση σε εταιρικές πλατφόρμες cloud υψηλής αξίας.
Η εταιρεία κυβερνοασφάλειας προτείνει ότι οι εισβολείς παραβίασαν περιβάλλοντα ShareFile, Nextcloud και ownCloud που χρησιμοποιούνται από οργανισμούς σε πολλούς τομείς, όπως η αεροπορία, η άμυνα, η υγειονομική περίθαλψη, οι επιχειρήσεις κοινής ωφέλειας, οι μαζικές συγκοινωνίες, οι τηλεπικοινωνίες, τα νομικά, τα ακίνητα και η κυβέρνηση.
Πηγή: Hudson Rock
Αφού αναλύσει τα αρχεία καταγραφής infostealer “ψάχνει συγκεκριμένα εταιρικά URL του cloud (ShareFile, Nextcloud)”, ο παράγοντας απειλής συνδέεται στις υπηρεσίες κοινής χρήσης αρχείων χρησιμοποιώντας ένα έγκυρο όνομα χρήστη και κωδικό πρόσβασης όπου το MFA δεν είναι ενεργό.
Hudson Rock λέει εντόπισε τα πιθανά σημεία παραβίασης συσχετίζοντας δεδομένα infostealer από την πλατφόρμα της με δημόσια διαθέσιμες εικόνες, μεταδεδομένα και πληροφορίες ανοιχτού κώδικα.
Σε τουλάχιστον 15 από τις περιπτώσεις που αναλύθηκαν, η εταιρεία κυβερνοασφάλειας διαπίστωσε ότι τα διαπιστευτήρια των υπαλλήλων για τις υπηρεσίες κοινής χρήσης αρχείων στο cloud είχαν συλλεχθεί από κλέφτες πληροφοριών.
Είναι σημαντικό να σημειωθεί ότι αυτή η επαλήθευση είναι μονομερής και δεν υπάρχει δημόσια επιβεβαίωση παραβίασης ασφάλειας από τις εισηγμένες εταιρείες. Μια εξαίρεση θα μπορούσε να είναι η Iberia, αν και η πρόσφατη αποκάλυψή της δεν συνδέεται απαραίτητα με τα ευρήματα του Hudson Rock.
Η Zestix προσφέρθηκε να πουλήσει κλεμμένους όγκους δεδομένων που κυμαίνονται από δεκάδες gigabyte έως αρκετά terabyte, ισχυριζόμενος ότι περιλαμβάνει εγχειρίδια συντήρησης αεροσκαφών και δεδομένα στόλου, αρχεία άμυνας και μηχανικής, βάσεις δεδομένων πελατών, αρχεία υγείας, σχήματα μαζικής μεταφοράς, χάρτες LiDAR, διαμορφώσεις δικτύου ISP, δεδομένα δορυφορικών έργων, πηγαίου κώδικα ERP, κρατικές συμβάσεις.
Πολλά από τα φερόμενα κλεμμένα αρχεία θα μπορούσαν να εκθέσουν τους οργανισμούς σε κινδύνους ασφάλειας, ιδιωτικότητας και βιομηχανικής κατασκοπείας, ενώ οι εκτεθειμένες κρατικές συμβάσεις ενδέχεται να εγείρουν ανησυχίες για την εθνική ασφάλεια.
Πηγή: Hudson Rock
Ο Hudson Rock βρήκε ένα επιπλέον σύνολο 30 θυμάτων που η Zestix πουλά με το ψευδώνυμο «Sentap», αλλά οι ερευνητές δεν το επικύρωσαν με τον ίδιο τρόπο.
Οι ερευνητές αναφέρουν ότι, εκτός από τα αναφερόμενα θύματα, τα δεδομένα πληροφοριών απειλών υποδεικνύουν ότι η έκθεση στο cloud είναι ένα ευρύτερο, συστημικό πρόβλημα που προέρχεται από την αδυναμία των οργανισμών να ακολουθήσουν καλές πρακτικές ασφαλείας.
Αναφέρουν ότι έχουν ταυτοποιήσει χιλιάδες μολυσμένους υπολογιστές, συμπεριλαμβανομένων ορισμένων στις Deloitte, KPMG, Samsung, Honeywell και Walmart.
Ο Hudson Rock είπε στο BleepingComputer ότι έχει ειδοποιήσει το ShareFile και θα ειδοποιήσει επίσης το Nextcloud και το OwnCloud σχετικά με τις επαληθευμένες εκθέσεις, ώστε να μπορούν να προβούν στις κατάλληλες ενέργειες.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
