Um novo ator de ameaças no mundo do cibercrime, conhecido pelo pseudónimo Zestix, está a comercializar ativamente informações corporativas sensíveis roubadas a dezenas de empresas. As violações terão ocorrido através do comprometimento de instâncias de plataformas populares de partilha de ficheiros e colaboração na nuvem, especificamente ShareFile, Nextcloud e OwnCloud.
A descoberta foi feita e detalhada num relatório da Hudson Rock, uma empresa especializada em inteligência de cibercrime. Segundo a investigação, o acesso inicial a estes sistemas críticos não foi conseguido através de vulnerabilidades complexas de software, mas sim através de credenciais de acesso válidas que foram exfiltradas de dispositivos de funcionários.
Estes colaboradores terão sido vítimas de malware do tipo "infostealer" (ladrões de informação), como o RedLine, Lumma e Vidar. Estes programas maliciosos são frequentemente distribuídos através de campanhas de publicidade enganosa (malvertising) ou ataques "ClickFix", infetando os computadores e roubando tudo o que esteja guardado nos navegadores web, incluindo palavras-passe, cookies de sessão e dados de carteiras de criptomoedas.
O perigo dos Infostealers e a ausência de MFA
O método de operação de Zestix destaca uma falha de segurança básica, mas persistente, em muitas organizações: a falta de Autenticação Multifator (MFA). O atacante, que atua como um "Initial Access Broker" (IAB) em fóruns clandestinos, analisa registos de malware à procura de URLs específicos de plataformas empresariais.
Ao encontrar credenciais válidas para serviços como o ShareFile ou Nextcloud, o pirata informático tenta o acesso. Se a conta não estiver protegida por MFA, a entrada é garantida. O relatório da Hudson Rock sublinha um detalhe preocupante: algumas das credenciais utilizadas já constavam em bases de dados criminosas há anos. Isto indica que as empresas não só falharam na implementação de camadas extra de segurança, como também negligenciaram a rotação de senhas ou a invalidação de sessões antigas.
Através da correlação de dados da sua plataforma com informações de código aberto, os investigadores conseguiram identificar prováveis pontos de rutura em pelo menos 15 casos analisados, confirmando que as credenciais dos funcionários tinham sido previamente comprometidas por este tipo de ataque.
Grandes empresas e segredos industriais em risco
O volume e a sensibilidade da informação que Zestix alega possuir são alarmantes. O hacker afirma ter para venda dezenas de gigabytes a vários terabytes de dados, abrangendo setores críticos como a aviação, defesa, saúde, transportes públicos, telecomunicações e imobiliário.
Entre os ficheiros supostamente roubados encontram-se manuais de manutenção de aeronaves, dados de frotas, esquemas de engenharia e defesa, bases de dados de clientes, registos médicos, configurações de rede de ISPs e até código fonte de ERPs. A exposição destes documentos acarreta riscos severos de espionagem industrial, violação de privacidade e, no caso de contratos governamentais expostos, preocupações de segurança nacional.
Além das vítimas diretas cujos dados estão à venda, a investigação detetou milhares de computadores infetados em grandes organizações globais. A lista de máquinas comprometidas inclui dispositivos pertencentes a empresas como a Deloitte, KPMG, Honeywell, Walmart e Samsung.
A Hudson Rock já notificou a ShareFile e planeia alertar a Nextcloud e a OwnCloud sobre estas exposições verificadas, para que as medidas de mitigação apropriadas possam ser tomadas. Este incidente serve como um lembrete severo de que a higiene digital dos funcionários e a implementação obrigatória de MFA são linhas de defesa essenciais contra o roubo de dados na era da cloud.
Nenhum comentário
Seja o primeiro!