Un acteur de la menace connu sous le nom de Zestix a proposé de vendre des données d’entreprise volées à des dizaines d’entreprises probablement après avoir violé leurs instances ShareFile, Nextcloud et ownCloud.
Selon la société de renseignement sur la cybercriminalité Hudson Rock, l’accès initial peut avoir été obtenu grâce à des informations d’identification collectées par des logiciels malveillants voleurs d’informations tels que RedLine, Lumma et Vidar déployés sur les appareils des employés.
Les trois infostealers sont généralement distribués par le biais de campagnes de publicité malveillante ou d’attaques ClickFix. Ce type de malware cible généralement les données stockées par les navigateurs Web (informations d’identification, cartes de crédit, informations personnelles), les applications de messagerie et les portefeuilles de crypto-monnaie.
Un acteur malveillant disposant d’informations d’identification valides peut accéder sans autorisation à un service, tel qu’une plate-forme de partage de fichiers, lorsque la protection par authentification multifacteur (MFA) est manquante.
Dans un rapport publié aujourd’hui, Hudson Rock note que certaines des informations d’identification volées analysées sont présentes dans des bases de données criminelles depuis des années, indiquant l’incapacité de les faire pivoter ou d’invalider les sessions actives même après de longues périodes.
Plusieurs violations annoncées
Hudson Rock explique que Zestix fonctionne comme un courtier d’accès initial (IAB) sur des forums souterrains, vendant l’accès à des plates-formes cloud d’entreprise de grande valeur.
La société de cybersécurité suggère que les attaquants ont violé les environnements ShareFile, Nextcloud et ownCloud utilisés par des organisations de plusieurs secteurs, notamment l’aviation, la défense, la santé, les services publics, les transports en commun, les télécommunications, le droit, l’immobilier et le gouvernement.
Après avoir analysé les journaux d’infostealer « recherchant spécifiquement les URL cloud d’entreprise (ShareFile, Nextcloud) », l’auteur de la menace se connecte aux services de partage de fichiers à l’aide d’un nom d’utilisateur et d’un mot de passe valides lorsque MFA n’est pas actif.
Hudson Rock affirme avoir identifié les points de violation probables en corrélant les données d’infostealer de sa plate-forme avec des images, des métadonnées et des informations open source accessibles au public.
Dans au moins 15 des cas analysés, la société de cybersécurité a constaté que les informations d’identification des employés pour les services de partage de fichiers dans le cloud avaient été collectées par infostealers.
Il est important de noter que cette vérification est unilatérale et qu’il n’y a aucune confirmation publique d’une faille de sécurité de la part des sociétés cotées. Une exception pourrait être Iberia, bien que sa récente divulgation ne soit pas nécessairement liée aux découvertes de Hudson Rock.
Zestix a proposé de vendre des volumes de données volés allant de dizaines de gigaoctets à plusieurs téraoctets, prétendant inclure des manuels de maintenance d’aéronefs et des données de flotte, des fichiers de défense et d’ingénierie, des bases de données clients, des dossiers de santé, des schémas de transport en commun, des cartes LiDAR des services publics, des configurations de réseau des FAI, données de projet satellite, code source ERP, contrats gouvernementaux et documents juridiques.
Bon nombre des fichiers prétendument volés pourraient exposer les organisations à des risques de sécurité, de confidentialité et d’espionnage industriel, tandis que les contrats gouvernementaux exposés pourraient soulever des problèmes de sécurité nationale.
Hudson Rock a trouvé un ensemble supplémentaire de victimes 30 que Zestix vend sous le pseudonyme “Sentap”, mais les chercheurs ne l’ont pas validé de la même manière.
Les chercheurs rapportent qu’en plus des victimes répertoriées, leurs données de renseignements sur les menaces indiquent que l’exposition au cloud est un problème systémique plus large découlant de l’incapacité des organisations à suivre les bonnes pratiques de sécurité.
Ils rapportent avoir identifié des milliers d’ordinateurs infectés, dont certains chez Deloitte, KPMG, Samsung, Honeywell et Walmart.
Hudson Rock a déclaré à Breachtrace qu’il avait notifié ShareFile et qu’il alerterait également Nextcloud et ownCloud des expositions vérifiées afin qu’ils puissent prendre les mesures appropriées.