Furti di credenziali fanno scattare l’allarme: utenti ownCloud a rischio tra violazioni di dati aziendali

Tutto è iniziato come un sussurro negli ambienti della cybersecurity: una manciata di server di condivisione file violati, un misterioso attore della minaccia che smerciava dati aziendali rubati. Ora ownCloud, una piattaforma di file sharing di cui si fidano oltre 200 milioni di utenti, lancia l’allarme: abilitate l’autenticazione a più fattori (MFA), oppure rischiate di entrare nella lista crescente delle vittime.

L’ultimo avviso di ownCloud arriva sulla scia di un rapporto schiacciante della società israeliana di cybersecurity Hudson Rock. La loro analisi ha rivelato che gli attaccanti non sono entrati da backdoor digitali né hanno sfruttato bug del software. Invece, hanno usato la porta principale - armati di credenziali utente legittime sottratte da dispositivi dei dipendenti infettati da malware infostealer.

Il malware - con nomi come RedLine, Lumma e Vidar - raccoglie silenziosamente nomi utente e password, che vengono poi venduti o utilizzati dai criminali informatici per accedere a dati aziendali sensibili. In modo cruciale, molti account ownCloud violati non avevano l’MFA attivata, rendendo fin troppo facile per gli attaccanti effettuare l’accesso ed esfiltrare i file.

“La piattaforma ownCloud non è stata hackerata né violata”, ha sottolineato l’azienda nel suo avviso. Nessun exploit zero-day, nessuna vulnerabilità della piattaforma. Ma è una magra consolazione per le organizzazioni che ora si affannano a contenere le fughe di dati, reimpostare le password e passare al setaccio i log di accesso alla ricerca di segnali di attività sospette.

Le conseguenze sono significative: attori della minaccia - come quello che opera con l’alias “Zestix” - stanno ora mettendo all’asta dati rubati di aziende sparse in tutto il mondo, dai colossi tecnologici alle istituzioni finanziarie e perfino ad agenzie governative. Hudson Rock ha identificato migliaia di computer infetti, inclusi quelli all’interno di nomi noti come Deloitte, Samsung, Walmart e i Centers for Disease Control and Prevention degli Stati Uniti.

Le indicazioni urgenti di ownCloud sono chiare: abilitate l’MFA, reimpostate tutte le password, invalidate le sessioni attive e rivedete i log per accessi non autorizzati. Il messaggio è netto - per quanto sicura sia la vostra piattaforma, una singola credenziale compromessa può disfare le difese della vostra organizzazione.

Man mano che i criminali informatici affinano le loro tattiche e il malware infostealer si diffonde, il peso della sicurezza ricade sempre più su utenti finali e amministratori. In un’era digitale in cui la fiducia si costruisce sulle password, una cosa è certa: serve più di una password robusta per tenere i lupi lontani.

WIKICROOK

• Multi: Multi si riferisce all’uso di una combinazione di tecnologie o sistemi diversi - come satelliti LEO e GEO - per migliorare affidabilità, copertura e sicurezza.
• Malware infostealer: Il malware infostealer è un software malevolo che raccoglie di nascosto informazioni sensibili, come password e dati finanziari, dai computer infetti.
• Furto di credenziali: Il furto di credenziali si verifica quando gli hacker sottraggono nomi utente e password, spesso tramite phishing o violazioni di dati, per accedere illegalmente ad account online.
• Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta sconosciuta al produttore del software, senza alcuna correzione disponibile, il che la rende altamente preziosa e pericolosa per gli attaccanti.
• Log di accesso: I log di accesso sono registri digitali che tracciano chi ha avuto accesso a quali dati e quando, aiutando le organizzazioni a monitorare l’attività e a indagare sulle violazioni di sicurezza.