(https://i.imgur.com/XxKmWAQ.jpeg)
Un actor de amenazas identificado como Zestix ha sido vinculado a una serie de presuntas intrusiones en plataformas corporativas de intercambio de archivos en la nube, incluyendo ShareFile, Nextcloud y ownCloud, con el objetivo de vender datos empresariales robados en foros clandestinos. La información fue revelada por la firma de inteligencia contra el cibercrimen Hudson Rock, que alerta sobre un patrón preocupante de exposición sistémica de credenciales y malas prácticas de seguridad en organizaciones de alto perfil.
Robo de credenciales como vector de acceso inicialDe acuerdo con Hudson Rock, el acceso inicial a estos entornos corporativos no se habría producido mediante la explotación directa de vulnerabilidades en las plataformas, sino a través del uso de credenciales legítimas obtenidas previamente por malware de robo de información (infostealers) como RedLine, Lumma y Vidar.
Estos infostealers suelen propagarse mediante campañas de malvertising, descargas de software pirata o falsas actualizaciones, así como ataques ClickFix, una técnica de ingeniería social cada vez más utilizada. Una vez ejecutado en el dispositivo de la víctima, el malware extrae información sensible almacenada en navegadores web, incluyendo usuarios y contraseñas, datos de tarjetas de crédito, cookies de sesión, credenciales de aplicaciones empresariales, monederos de criptomonedas y aplicaciones de mensajería.
El verdadero riesgo surge cuando estas credenciales pertenecen a empleados con acceso a plataformas corporativas críticas y, además, no cuentan con autenticación multifactor (MFA) habilitada. En estos escenarios, un atacante puede iniciar sesión de forma remota sin generar alertas inmediatas.
Credenciales expuestas durante añosUno de los hallazgos más alarmantes del informe es que muchas de las credenciales robadas llevaban años circulando en bases de datos criminales, lo que indica fallos graves en las políticas de seguridad de las organizaciones afectadas. Según Hudson Rock, en varios casos las contraseñas nunca fueron rotadas, o bien las sesiones activas no fueron invalidadas, incluso después de largos periodos de tiempo o posibles incidentes de seguridad.
Esta situación evidencia un problema estructural: la falta de higiene digital, el uso de contraseñas reutilizadas y la ausencia de controles como MFA o detección de accesos anómalos.
Zestix como intermediario de acceso inicial (IAB)Hudson Rock clasifica a Zestix como un Intermediario de Acceso Inicial (Initial Access Broker – IAB), un rol clave dentro del ecosistema del cibercrimen moderno. Estos actores no siempre ejecutan ataques finales como ransomware o extorsión, sino que venden accesos ya comprometidos a otros grupos criminales especializados.
En este caso, Zestix habría comercializado accesos a entornos de nube corporativa utilizados por organizaciones de sectores altamente sensibles, como aviación, defensa, sanidad, telecomunicaciones, transporte público, servicios públicos, legal, inmobiliario y entidades gubernamentales.
Metodología de verificación de Hudson RockPara identificar las posibles brechas, los investigadores analizaron registros de infostealers buscando específicamente URLs corporativas asociadas a ShareFile, Nextcloud y ownCloud. Posteriormente, correlacionaron estos datos con imágenes, metadatos y fuentes abiertas disponibles públicamente.
En al menos 15 casos, Hudson Rock confirmó que credenciales de empleados con acceso a plataformas de intercambio de archivos habían sido recopiladas por malware de robo de información. Con dichas credenciales, los atacantes pudieron iniciar sesión en los servicios donde MFA no estaba habilitado, obteniendo acceso completo a los datos almacenados.
Es importante destacar que esta verificación es unilateral y que no existe confirmación pública por parte de la mayoría de las empresas mencionadas sobre una brecha directa. Una posible excepción es Iberia, aunque su incidente reciente no ha sido vinculado oficialmente a los hallazgos de Hudson Rock.
Datos robados de alto valor estratégicoZestix ofreció a la venta volúmenes de datos que oscilan entre decenas de gigabytes y varios terabytes, afirmando que los archivos incluyen información extremadamente sensible, como:
- Manuales de mantenimiento de aeronaves y datos de flotas
- Documentación de defensa e ingeniería
- Bases de datos de clientes y registros médicos
- Esquemas de transporte público y mapas LiDAR
- Configuraciones de redes de proveedores de internet (ISP)
- Información sobre proyectos satelitales
- Código fuente de sistemas ERP
- Contratos gubernamentales y documentos legales
La exposición de este tipo de información representa riesgos severos en términos de seguridad, privacidad, cumplimiento normativo y espionaje industrial. En el caso de los contratos gubernamentales y datos críticos de infraestructura, las implicaciones podrían incluso escalar a preocupaciones de seguridad nacional.
Un problema sistémico de seguridad en la nubeAdemás de las víctimas confirmadas, Hudson Rock identificó un grupo adicional de 30 organizaciones cuyos datos Zestix estaría vendiendo bajo el alias "Sentap", aunque estos casos no pudieron ser validados con la misma metodología.
Los investigadores subrayan que este fenómeno no es un incidente aislado, sino un reflejo de un problema sistémico de exposición en la nube, impulsado por el incumplimiento de buenas prácticas básicas de ciberseguridad.
Como parte de su análisis, Hudson Rock afirma haber identificado miles de ordenadores infectados por infostealers, incluyendo sistemas pertenecientes a empresas de renombre como Deloitte, KPMG, Samsung, Honeywell y Walmart, lo que demuestra el alcance transversal de esta amenaza.
Notificación a los proveedores afectadosHudson Rock confirmó que ya ha notificado a ShareFile sobre las exposiciones verificadas y que también alertará a Nextcloud y ownCloud, con el objetivo de que los proveedores puedan adoptar medidas adicionales de mitigación y concienciar a sus clientes sobre la necesidad de reforzar sus controles de acceso.
Fuente: https://www.bleepingcomputer.com/