Portale chmurowego udostępniania plików na celowniku: kampania Zestix/Sentap i kradzież danych z ShareFile, Nextcloud i ownCloud

securitybeztabu.pl 2 dni temu

Wprowadzenie do problemu / definicja luki

Na przełomie 5–6 stycznia 2026 media branżowe opisały kampanię, w której cyberprzestępca działający pod ksywą Zestix (alias Sentap) oferuje sprzedaż danych wykradzionych z firmowych portali do udostępniania/synchronizacji plików. Wskazywane platformy to m.in. ShareFile, Nextcloud i ownCloud.

Kluczowe jest to, iż w tym przypadku „luka” nie musi oznaczać podatności typu CVE w samym oprogramowaniu. Opisywany scenariusz pasuje do coraz częstszego wzorca: kradzież danych przez nadużycie prawidłowych poświadczeń (credential abuse) pozyskanych wcześniej z infekcji infostealerami — a następnie logowanie do usług tam, gdzie nie egzekwuje się MFA.

W skrócie

  • Zestix/Sentap ma działać jak Initial Access Broker (IAB) i sprzedawać dostęp lub dane z portali plikowych wielu organizacji.
  • Źródłem dostępu mają być poświadczenia z infostealerów (m.in. RedLine, Lumma, Vidar) zbierane z urządzeń pracowników.
  • Część poświadczeń mogła „leżeć” w bazach przestępczych latami (brak rotacji haseł i unieważniania sesji).
  • Skala danych: od dziesiątek GB do kilku TB, w tym potencjalnie dokumentacja techniczna, dane klientów, dokumenty medyczne, projekty inżynieryjne itp.
  • Dostawca ShareFile miał podkreślić, iż to nie wygląda na exploit podatności, tylko na logowanie poprawnymi danymi tam, gdzie MFA nie było wymuszane.

Kontekst / historia / powiązania

Infostealery (malware kradnące dane) stały się jednym z najbardziej „opłacalnych” elementów łańcucha ataku: kradną loginy/hasła, cookies, dane przeglądarki, czasem także konfiguracje VPN/FTP — a potem te artefakty są odsprzedawane lub wykorzystywane przez kolejne podmioty (w tym IAB).

Australijskie ACSC zwraca uwagę, iż wycieki z infostealerów często prowadzą do poważniejszych incydentów (np. ransomware, extortion, BEC), szczególnie gdy pracownicy korzystają z zasobów firmowych na urządzeniach słabiej kontrolowanych (BYOD / prywatne komputery).

W tym tle kampania Zestix/Sentap nie jest „egzotyczna” technicznie — jest groźna, bo bazuje na realiach operacyjnych: hasła zapisane w przeglądarce, brak MFA na wybranych kontach/tenantach, rzadkie audyty logowań, a czasem także źle ustawione polityki sesji.

Analiza techniczna / szczegóły „wejścia” do środowisk

1) Pozyskanie poświadczeń: infostealer na stacji użytkownika

Wg opisu, początek łańcucha to infekcja urządzenia pracownika infostealerem (np. RedLine/Lumma/Vidar). Takie kampanie są często karmione malvertisingiem i socjotechniką typu ClickFix (nakłanianie do kliknięcia/wykonania „naprawy”, która kończy się uruchomieniem złośliwego kodu).

ACSC wymienia typowe techniki dystrybucji: phishing, złośliwe reklamy, „cracki”/pirackie oprogramowanie, SEO-poisoning oraz złośliwe linki w social media — czyli dokładnie te kanały, które w praktyce omijają część klasycznych filtrów, jeżeli użytkownik finalnie sam uruchomi payload.

2) Monetyzacja: IAB + selekcja środowisk „wysokiej wartości”

Zestix jest opisywany jako podmiot oferujący na forach przestępczych dostęp/dane z platform EFSS (enterprise file sync and share). Mechanizm: przeglądanie logów z infostealerów w poszukiwaniu adresów firmowych portali (np. subdomen ShareFile lub instancji Nextcloud/ownCloud), a następnie logowanie poprawnym zestawem login/hasło.

3) „Dlaczego to działa”: brak MFA i dług życia sesji/hasła

W opisywanym przypadku krytycznym czynnikiem ma być brak wymuszonego MFA — wtedy „wystarczy hasło”.
Co więcej, Hudson Rock sygnalizuje, iż część poświadczeń mogła być dostępna w przestępczych bazach od dawna, co wskazuje na problemy z:

  • rotacją haseł,
  • unieważnianiem sesji,
  • egzekwowaniem polityk logowania dla kont uprzywilejowanych i zewnętrznych.

4) Uwaga o ShareFile i MFA (ważne w praktyce)

Dokumentacja ShareFile opisuje, iż MFA jest dostępne, a administratorzy mogą sterować wymaganiami i metodami. Jednocześnie wprost wskazano, iż da się wyłączyć egzekwowanie MFA (co nie jest rekomendowane).
To dobrze spina się z wątkiem z artykułu: ataki „credential-only” są wykonalne dokładnie tam, gdzie wymuszenie MFA zostało pominięte lub rozluźnione (np. dla kontaktów zewnętrznych, integracji, kont serwisowych albo „tymczasowo”).

Praktyczne konsekwencje / ryzyko

BleepingComputer opisuje, iż oferowane paczki danych miały sięgać od dziesiątek GB do kilku TB i obejmować m.in. dokumenty techniczne, dane medyczne, mapy/konfiguracje infrastruktury, dokumenty prawne i kontrakty.

To przekłada się na ryzyka:

  • natychmiastowe ryzyko wycieku danych (RODO/PII/PHI, tajemnice przedsiębiorstwa),
  • szantaż i wymuszenia (publikacja danych, groźby wobec klientów/partnerów),
  • eskalacja do ransomware (IAB sprzedaje dostęp dalej),
  • supply chain / downstream compromise (pliki z portalów często krążą między firmą a dostawcami/klientami).

Warto też pamiętać o zastrzeżeniu: część wskazań ma charakter analityczny/OSINT i nie zawsze jest publiczne potwierdzenie incydentu po stronie ofiar.

Rekomendacje operacyjne / co zrobić teraz

Poniżej „checklista”, która ma sens niezależnie od tego, czy Twoja organizacja używa ShareFile, Nextcloud czy ownCloud:

  1. Wymuś MFA wszędzie, bez wyjątków
    • Zweryfikuj polityki dla: kont uprzywilejowanych, kont zewnętrznych (goście/klienci), kont serwisowych/integracji.
    • Jeśli to ShareFile: sprawdź ustawienia MFA oraz czy wymuszenie nie zostało wyłączone „waiverem/opt-out”.
  2. Zrób rotację i „odśmiecanie” poświadczeń
    • Reset haseł kont o dostępie do portali plikowych.
    • Unieważnij aktywne sesje/tokenty tam, gdzie to możliwe (szczególnie po incydencie infostealera).
  3. Polowanie na symptomy infostealera
    • Przegląd alertów EDR, nietypowych uruchomień, podejrzanych archiwów/installerów, artefaktów po kampaniach malvertising/SEO-poisoning.
    • ACSC podkreśla, iż urządzenia prywatne używane do pracy są istotnym wektorem ryzyka — jeżeli dopuszczasz BYOD, podnieś wymagania (MDM, posture check, separacja profili).
  4. Detekcja: logowania i dostęp do danych
    • Alertuj: logowania z nowych krajów/ASN, niestandardowe user-agent, nietypowe godziny, masowe pobrania, szybkie przeglądanie wielu katalogów, eksporty.
    • Ustal „baseline” i progi dla: download volume, liczby plików, liczby żądań API.
  5. Ogranicz blast radius
    • Zasada najmniejszych uprawnień na folderach/projektach.
    • Segmentacja: oddziel portale dla klientów, partnerów i danych krytycznych.
    • Włącz dodatkowe mechanizmy ochrony treści (DLP/klasyfikacja) tam, gdzie platforma to wspiera.
  6. Przygotuj reakcję na „data theft/extortion”
    • Gotowe playbooki: identyfikacja kont, wyłączenie dostępu, komunikacja prawna/PR, zawiadomienia regulatorów, kontakt z dostawcą.
    • Zachowaj dowody (logi, metadane transferów), bo w tym typie incydentu liczy się rozliczalność „kto/ co/ kiedy pobrał”.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Credential abuse vs exploit podatności (CVE):

  • W exploitach walczysz głównie patchowaniem i twardnieniem usługi (WAF, hardening, aktualizacje).
  • W nadużyciu poświadczeń problemem numer 1 jest tożsamość i dostęp: MFA, polityki sesji, rotacja, monitoring logowań.
    W opisywanym przypadku zarówno Hudson Rock, jak i komentarz dostawcy ShareFile wskazują, iż kompromitacje mają być spójne z użyciem wcześniej skradzionych danych logowania, a nie z łamaniem platformy podatnością.

SaaS (ShareFile) vs self-hosted (Nextcloud/ownCloud):

  • W SaaS część kontroli bezpieczeństwa i telemetrii zapewnia dostawca, ale konfiguracja MFA/polityk przez cały czas bywa po stronie klienta.
  • W self-hosted dochodzi jeszcze warstwa bezpieczeństwa infrastruktury (reverse proxy, aktualizacje serwera, kopie, monitoring), ale w tym scenariuszu i tak „zabija” często brak MFA/rotacji — niezależnie od hostingu.

Podsumowanie / najważniejsze wnioski

  • Najgroźniejsze incydenty 2026 coraz częściej nie wymagają „0-day”: wystarczą infostealery + brak MFA + słaba higiena tożsamości.
  • Kampania Zestix/Sentap uderza w miejsce, gdzie organizacje przechowują najbardziej wrażliwe pliki: portale wymiany dokumentów (prawne, medyczne, inżynieryjne, kontraktowe).
  • Priorytet na dziś: wymuś MFA, „przewietrz” sesje i hasła, oraz ustaw detekcję masowych pobrań/niezwykłych logowań.

Źródła / bibliografia

  1. BleepingComputer — Cloud file-sharing sites targeted for corporate data theft attacks (5 stycznia 2026). (BleepingComputer)
  2. The Register — One criminal stole info from 50 orgs thanks to no MFA (6 stycznia 2026). (The Register)
  3. Infostealers.com / Hudson Rock — Dozens of Global Companies Hacked via Cloud Credentials from Infostealer Infections & More at Risk (5 stycznia 2026). (InfoStealers)
  4. Australian Cyber Security Centre (ACSC) — The silent heist: cybercriminals use information stealer malware to compromise corporate networks (advisory PDF). (cyber.gov.au)
  5. Progress ShareFile Docs — Multi-Factor authentication (8 grudnia 2025). (ShareFile Documentation)
Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Portale chmurowego udostępniania plików na celowniku: kampania Zestix/Sentap i kradzież danych z ShareFile, Nextcloud i ownCloud

Powiązane

Wykryto groźny malware. Kimwolf zainfekował urządzenia z Androidem

Wykryto groźny malware. Kimwolf zainfekował urządzenia z And...

5 godzin temu
Cyberbezpieczeństwo na nowy rok – jak zabezpieczyć sieć domową?

Cyberbezpieczeństwo na nowy rok – jak zabezpieczyć sieć domo...

12 godzin temu
Dobrali się do danych agencji kosmicznej. Bardzo groźny wyciek

Dobrali się do danych agencji kosmicznej. Bardzo groźny wyci...

14 godzin temu
Jak zadbać o bezpieczne niszczenie dokumentów firmy?

Jak zadbać o bezpieczne niszczenie dokumentów firmy?

1 dzień temu
Mikroplastik jest wszędzie. „Walczymy o życie przyszłych pokoleń”

Mikroplastik jest wszędzie. „Walczymy o życie przyszłych pok...

1 dzień temu
Zróbmy razem porządek w cyfrowym życiu! Cyfrowy minimalizm w praktyce: rzeczy, które możesz zrobić dziś, żeby odzyskać spokój

Zróbmy razem porządek w cyfrowym życiu! Cyfrowy minimalizm w...

2 dni temu
Kim Dzong Un straszy nową zabawką. Japonia i USA w „gotowości technicznej”

Kim Dzong Un straszy nową zabawką. Japonia i USA w „gotowośc...

2 dni temu
ClickFix z fałszywym BSOD: jak kampania na Booking.com zmusza ofiary do uruchomienia malware (PHALT#BLYX / DCRat)

ClickFix z fałszywym BSOD: jak kampania na Booking.com zmusz...

2 dni temu

Polecane

Pomyłka z walizką i działania minersko-pirotechniczne na krakowskim lotnisku

Pomyłka z walizką i działania minersko-pirotechniczne na kra...

1 dzień temu
RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

2 dni temu
Maduro przed sądem w Nowym Jorku: Zostałem porwany. Były przywódca Wenezueli odpiera zarzuty

Maduro przed sądem w Nowym Jorku: Zostałem porwany. Były prz...

3 dni temu
Niewybuchy w lesie. Mieszkaniec powiadomił służby

Niewybuchy w lesie. Mieszkaniec powiadomił służby

1 tydzień temu
"Przeraźliwe huki i strzały – tak się nie da żyć". O strzelaniu w Sylwestra mieszkańcy Rzeszowa.

"Przeraźliwe huki i strzały – tak się nie da żyć". O strzela...

1 tydzień temu
Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Mazowieckim pułku saperów w Kazuniu

Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Ma...

2 tygodni temu
One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię w Bondi

One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię...

2 tygodni temu
Dywersja na kolei. Interpol opublikował czerwone noty

Dywersja na kolei. Interpol opublikował czerwone noty

3 tygodni temu
Nietypowe znalezisko w lesie. Na miejsce jadą saperzy

Nietypowe znalezisko w lesie. Na miejsce jadą saperzy

3 tygodni temu