Una campagna di cybercrime su larga scala ha compromesso i sistemi di archiviazione cloud di oltre 50 grandi aziende in tutto il mondo, esponendo terabyte di dati sensibili a causa di credenziali rubate da malware infostealer. Secondo un nuovo rapporto di Hudson Rock, un Hacker che opera con gli alias “Zestix” e “Sentap” ha messo all’asta l’accesso a portali aziendali come ShareFile, Nextcloud e OwnCloud su forum alternativi.
Il modus operandi degli attacchi
L’indagine, condotta esclusivamente per Infostealers.com, ha rivelato che gli attacchi sono partiti da log generati da famiglie di malware infostealer come RedLine, Lumma e Vidar. I malware infettano i dispositivi degli utenti, spesso personali o non protetti, rubando credenziali salvate e dati di sessione del browser. In molti dei casi analizzati, queste credenziali sono rimaste valide per mesi o addirittura anni, senza rotazione di password o invalidazione delle sessioni. La causa principale del fallimento è stata la mancanza di autenticazione a più fattori (MFA).
Le conseguenze degli attacchi
Gli attaccanti hanno guadagnato l’accesso semplicemente accedendo ai portali aziendali con credenziali valide trovate nei log di infostealer, spesso risalenti a diversi anni fa. Zestix è diventato un importante nei forum dark della rete russa, vendendo l’accesso a istanze cloud compromesse, a volte per decine di migliaia di dollari in valuta virtuale. Le vittime includono aziende di diversi settori e continenti, tra cui Pickett & Associates, Intecro Robotics, Maida Health, Iberia Airlines e CRRC MA.
