Selon un bulletin de sécurité d’ownCloud, s’appuyant sur un rapport d’Hudson Rock, des intrusions ont visé des plateformes de partage de fichiers auto‑hébergées, dont des instances communautaires d’ownCloud, via l’exploitation de combinaisons identifiant/mot de passe volées — sans faille ni zero‑day. Le hacker « Zestix » (aka « Sentap ») a mis en vente sur le dark web des données attribuées à environ 50 organisations internationales. 🚨

Nature de la menace et impact: les attaquants ont utilisé des identifiants compromis par des infostealers (notamment RedLine, Lumma, Vidar) installés sur des postes d’employés. Ces malwares aspirent les mots de passe stockés (navigateurs/système), ensuite revendus en masse sur des places de marché clandestines. Des cybercriminels filtrent ces bases pour identifier des accès à des services d’entreprise (dont des portails ownCloud) et se connectent comme des utilisateurs légitimes lorsqu’aucune authentification multifacteur (MFA) n’est exigée. 🔐

Mesures mises en avant par l’éditeur: ownCloud demande d’activer sans délai le MFA pour tous les comptes via les mécanismes intégrés, de forcer une réinitialisation des mots de passe, d’analyser les journaux de connexion pour détecter des activités anormales et d’invalider les sessions en cours afin d’imposer une nouvelle authentification avec MFA. 🛡️

IOCs et TTPs:

  • IOCs (familles de malwares): RedLine, Lumma, Vidar.
  • TTPs: vol de credentials depuis navigateurs/systèmes via infostealers; revente sur des marchés souterrains; filtrage pour repérer des accès d’entreprise; prise de contrôle de comptes sans exploitation de vulnérabilité (connexion en tant qu’utilisateur légitime); vente de données sur le dark web (acteur: « Zestix »/« Sentap »).

Type d’article et objectif: il s’agit d’une alerte de sécurité visant à informer d’intrusions par identifiants volés et à relayer les mesures urgentes demandées par ownCloud pour sécuriser les déploiements auto‑hébergés.

🔗 Source originale : https://www.clubic.com/actualite-594274-vol-d-identifiant-owncloud-vous-invite-fortement-a-activer-le-mfa.html