Zestix intensifica el robo de datos corporativos explotando vulnerabilidades en ShareFile, Nextcloud y OwnCloud

Introducción

En las últimas semanas, la comunidad de ciberseguridad ha detectado una alarmante actividad por parte de un actor de amenazas identificado como “Zestix”, especializado en la exfiltración y venta de datos corporativos. Zestix ha aprovechado vulnerabilidades recientes en plataformas de almacenamiento y colaboración empresarial —principalmente ShareFile, Nextcloud y OwnCloud— para acceder a información sensible de decenas de organizaciones en todo el mundo. El incidente pone de manifiesto la creciente sofisticación de los cibercriminales en la explotación de servicios cloud y la urgencia de reforzar la protección en este tipo de entornos.

Contexto del Incidente

Zestix ha irrumpido en el panorama de la ciberdelincuencia en 2024, ofreciendo en foros clandestinos y canales de Telegram volúmenes considerables de datos corporativos, presuntamente obtenidos tras la explotación de instancias vulnerables de ShareFile, Nextcloud y OwnCloud. Estas plataformas, ampliamente adoptadas por empresas para el intercambio seguro de archivos y la colaboración, han mostrado serios problemas de seguridad debido a configuraciones incorrectas, falta de actualización y la explotación de vulnerabilidades conocidas. La campaña ha afectado principalmente a empresas de los sectores financiero, sanitario, legal y de consultoría, aunque no se descarta que el alcance sea aún mayor.

Detalles Técnicos

El vector de ataque principal empleado por Zestix ha sido la explotación de vulnerabilidades críticas en dichos servicios. Entre ellas destacan:

– ShareFile (de Citrix): Vulnerabilidad CVE-2023-24489, una falla de deserialización que permite ejecución remota de código (RCE) sin autenticación. Esta brecha ha sido objeto de exploits públicos y ha sido incorporada a frameworks como Metasploit.
– Nextcloud: Se han detectado ataques dirigidos a versiones desactualizadas expuestas a Internet, donde la falta de parcheo ha permitido la explotación de CVE-2023-37805 (inyección de comandos) y CVE-2023-27596 (escalada de privilegios).
– OwnCloud: La vulnerabilidad CVE-2023-49103, que afecta a instancias mal configuradas, ha sido explotada para obtener acceso a archivos sensibles e incluso credenciales almacenadas.

En todos los casos, los atacantes han utilizado técnicas alineadas con el framework MITRE ATT&CK, destacando la explotación inicial de vulnerabilidades (T1190), la escalada de privilegios (T1068), la exfiltración de datos cifrados (T1041) y la evasión de defensa mediante borrado de logs (T1070.004). Los indicadores de compromiso (IoC) incluyen conexiones desde direcciones IP asociadas a servicios de VPN y nodos Tor, así como patrones de acceso masivo a archivos comprimidos y logs de actividad inusual fuera del horario laboral.

Impacto y Riesgos

El impacto de esta campaña es significativo. Según estimaciones de firmas de inteligencia de amenazas, más de 50 organizaciones han sido afectadas, con filtraciones que superan los 5 TB de información sensible en total. La naturaleza de los datos exfiltrados abarca desde información financiera, contratos, listados de clientes, credenciales internas y documentos estratégicos. El riesgo para las empresas es múltiple: desde daño reputacional, sanciones regulatorias bajo GDPR (posibles multas de hasta el 4% de la facturación global anual), hasta el uso de la información robada para ataques de phishing dirigidos, extorsión y movimiento lateral hacia otros activos críticos.

Medidas de Mitigación y Recomendaciones

Se recomienda a todas las organizaciones que utilicen ShareFile, Nextcloud u OwnCloud realizar una revisión inmediata de sus instancias, siguiendo estos pasos:

1. Verificar la versión de software y aplicar urgentemente los últimos parches de seguridad para CVE-2023-24489, CVE-2023-37805, CVE-2023-27596 y CVE-2023-49103.
2. Revisar las configuraciones de acceso externo y restringir la exposición innecesaria a Internet.
3. Monitorizar logs de acceso y transferencias masivas de datos en busca de actividad anómala o fuera de horario.
4. Implementar autenticación multifactor (MFA) para todos los usuarios y administradores.
5. Utilizar herramientas de detección y respuesta (EDR/XDR) para identificar movimientos laterales y exfiltración de datos.
6. Revisar y rotar credenciales de acceso, especialmente si se sospecha compromiso.

Opinión de Expertos

Especialistas en ciberseguridad, como los equipos de respuesta a incidentes de CERT-EU y analistas de firmas como Mandiant y CrowdStrike, subrayan la peligrosidad de la explotación de servicios cloud mal asegurados. “La tendencia de atacar plataformas colaborativas es un reflejo directo del valor que la información compartida tiene para los atacantes y de la frecuente negligencia en su protección”, señala Laura Sánchez, responsable de Threat Intelligence en S21sec. Además, insisten en que la rápida explotación tras la publicación de exploits públicos acorta los plazos de respuesta para los equipos de seguridad.

Implicaciones para Empresas y Usuarios

Las empresas deben entender que la seguridad en plataformas colaborativas es tan crítica como la de cualquier otro sistema core. La exposición de datos bajo GDPR y NIS2 puede traer consecuencias legales y económicas severas, y el uso de información exfiltrada en ataques dirigidos puede comprometer otros activos. Para los usuarios, la fuga de credenciales puede derivar en ataques de phishing y suplantación de identidad a gran escala.

Conclusiones

El caso Zestix evidencia la necesidad de mantener un ciclo de gestión de vulnerabilidades proactivo, con especial atención a servicios cloud y plataformas colaborativas, frecuentemente subestimadas en las estrategias de defensa. La rápida adopción de parches, la monitorización continua y la formación en ciberseguridad siguen siendo pilares fundamentales para mitigar este tipo de amenazas en un entorno cada vez más interconectado y expuesto.

(Fuente: www.bleepingcomputer.com)