Cybercriminelen richten hun pijlen steeds vaker op cloudgebaseerde bestandsdiensten om waardevolle bedrijfsdata te stelen. Volgens een nieuw rapport van Hudson Rock biedt een dreigingsactor die bekendstaat als Zestix momenteel gestolen data aan van tientallen organisaties. Die gegevens zouden afkomstig zijn uit gecompromitteerde omgevingen van onder meer ShareFile, Nextcloud en ownCloud.
Bedrijfsdata
Volgens Hudson Rock is de initiële toegang waarschijnlijk verkregen via inloggegevens die zijn buitgemaakt door zogeheten infostealer-malware. Het gaat onder meer om RedLine, Lumma en Vidar, kwaadaardige software die vaak wordt verspreid via malvertisingcampagnes of ClickFix-aanvallen. Deze infostealers richten zich vooral op gevoelige gegevens die lokaal op apparaten van medewerkers zijn opgeslagen, zoals browserwachtwoorden, creditcardgegevens, persoonlijke informatie, chatdata en cryptowallets.
Toegang tot cloudplatforms
Wanneer aanvallers beschikken over geldige gebruikersnamen en wachtwoorden, kunnen zij zonder veel moeite toegang krijgen tot cloudplatforms, vooral wanneer multi-factor authenticatie ontbreekt. Hudson Rock wijst erop dat sommige van de geanalyseerde inloggegevens al jaren in criminele databases circuleren. Dat wijst op het uitblijven van wachtwoordrotatie en het niet ongeldig maken van actieve sessies, zelfs na lange tijd.
Uiteenlopende sectoren
Zestix opereert volgens de onderzoekers als een zogenoemde initial access broker en verkoopt toegang tot hoogwaardige bedrijfsomgevingen op ondergrondse fora. De getroffen organisaties zijn actief in uiteenlopende sectoren, waaronder luchtvaart, defensie, gezondheidszorg, nutsvoorzieningen, openbaar vervoer, telecom, vastgoed en overheid. Door infostealer-logs te analyseren en deze te correleren met openbare bronnen en metadata, wist Hudson Rock vermoedelijke inbraakpunten te identificeren.
Verificatie
In minstens vijftien gevallen werd vastgesteld dat medewerkersaccounts voor cloud-bestandsdiensten daadwerkelijk waren buitgemaakt via infostealers. Daarbij is het belangrijk te benadrukken dat deze verificatie eenzijdig is en dat de betrokken organisaties publiekelijk geen datalek hebben bevestigd. Een mogelijke uitzondering is Iberia, al staat niet vast dat die melding direct verband houdt met deze bevindingen.
De hoeveelheden data die Zestix te koop aanbiedt, variëren van tientallen gigabytes tot meerdere terabytes. Het zou gaan om uiterst gevoelige informatie, zoals onderhoudshandleidingen voor vliegtuigen, defensie- en engineeringdocumenten, klantendatabases, medische dossiers, netwerkconfiguraties, satellietprojectdata, broncode van ERP-systemen, overheidscontracten en juridische documenten. Dergelijke lekken brengen niet alleen privacy- en veiligheidsrisico’s met zich mee, maar kunnen ook leiden tot industriële spionage en zelfs nationale veiligheidszorgen.
Hudson Rock benadrukt dat dit geen geïsoleerd probleem is. Uit hun dreigingsinformatie blijkt dat duizenden computers wereldwijd besmet zijn, waaronder systemen bij grote organisaties als Deloitte, KPMG, Samsung, Honeywell en Walmart. Het onderstreept hoe structureel cloudbeveiliging tekortschiet wanneer basismaatregelen, zoals MFA en credential management, niet consequent worden toegepast.
Passende maatregelen
Hudson Rock heeft ShareFile inmiddels geïnformeerd en zal ook Nextcloud en ownCloud op de hoogte brengen, zodat zij passende maatregelen kunnen nemen om verdere blootstelling te beperken.