المتسللون يستغلون أنظمة Oracle ، وتعرض المديرون التنفيذيون لطلبات فدية

أدى هجوم إلكتروني كبير الحجم إلى وضع الشركات العالمية في حالة تأهب حيث يستهدف المتسللون المرتبطون بعصابة برامج الفدية Cl0p المديرين التنفيذيين من خلال حملات الابتزاز.

يدعي المهاجمون أنهم سرقوا بيانات حساسة من تطبيقات E-Business Suite من Oracle ، والتي تستخدم على نطاق واسع لإدارة المعاملات المالية وسلاسل التوريد وسجلات العملاء.

وفقا لباحثين أمنيين ، يرسل المتسللون رسائل بريد إلكتروني ابتزاز إلى قادة الشركة يطالبون بمدفوعات لمنع إصدار الملفات المخترقة.

وبلغ أحد هذه المطلبات 50 مليون دولار، على الرغم من أنه لم يتم تأكيد دفع أي ضحية حتى الآن.

رسائل البريد الإلكتروني المرسلة إلى المديرين التنفيذيين للشركة

أكدت شركة Google من Alphabet أن المتسللين يتصلون بالمديرين التنفيذيين في العديد من المؤسسات ، زاعمين أنهم قاموا بتسريب بيانات سرية من أنظمة Oracle.

في بيان ، وصفت Google الحملة بأنها "كبيرة الحجم" لكنها قالت إنه ليس لديها حاليا أدلة كافية للتحقق من الادعاءات.

تم توزيع رسائل البريد الإلكتروني ، التي بدأت في الظهور في 29 سبتمبر أو قبله ، عبر مئات حسابات الطرف الثالث المخترقة وتشترك في الخصائص المتوافقة مع عمليات Cl0p السابقة.

وأشار المحققون إلى أن المهاجمين يبدو أنهم أساءوا استخدام وظيفة إعادة تعيين كلمة المرور الافتراضية في Oracle للحصول على بيانات اعتماد صالحة للبوابات المواجهة للإنترنت في E-Business Suite.

تضمنت ملاحظات الابتزاز ، المكتوبة بلغة إنجليزية رديئة وتحتوي على أخطاء نحوية ، لقطات شاشة وأشجار ملفات كدليل مفترض على الوصول. تتطابق تفاصيل الاتصال المضمنة في الرسائل أيضا مع تلك المرتبطة سابقا ب Cl0p.

طلبات الفدية ومخاطر سرقة البيانات

ذكرت شركة الأمن السيبراني Halcyon أن طلبات الفدية كانت في النطاق المكون من سبعة وثمانية أرقام ، مع طلب واحد يصل إلى 50 مليون دولار.

لا يقتصر تكتيك المهاجمين على تشفير الملفات ولكنه ينطوي على سرقة بيانات جماعية ، مما قد يزيد الضغط على الضحايا للدفع. إذا رفضت الشركات ، فقد يتم تسريب البيانات المسروقة أو بيعها ، مما يؤدي إلى مزيد من الضرر التنظيمي والمالي والسمعة.

بينما ربطت كل من Google و Halcyon الحملة ب Cl0p ، شدد الباحثون على أن الحجم الكامل للخرق لا يزال غير واضح. لم تستجب Oracle ولا Cl0p لطلبات التعليق.

تاريخ Cl0p من الانتهاكات واسعة النطاق

تشتهر Cl0p باستغلال الثغرات الأمنية في برامج المؤسسات المستخدمة على نطاق واسع. في عام 2023 ، نفذت المجموعة هجوما جماعيا على أداة نقل الملفات MOVEit ، وادعت بيانات من مئات المنظمات بما في ذلك شل ، ومالك الخطوط الجوية البريطانية IAG ، وهيئة الإذاعة البريطانية.

بعد هذا الحادث ، وصفت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية Cl0p بأنها واحدة من أكبر موزعي التصيد الاحتيالي والبريد العشوائي في العالم ، وقدرت أنها عرضت أكثر من 3000 منظمة في الولايات المتحدة و 8000 على مستوى العالم للخطر.

تسلط الحملة الحالية الضوء على كيفية تركيز جماعات مجرمي الإنترنت بشكل متزايد على منصات المؤسسات التي تشكل العمود الفقري لعمليات الشركات.

من خلال اختراق تطبيقات مثل E-Business Suite من Oracle ، يحصل المهاجمون على إمكانية الوصول إلى البيانات المالية والتشغيلية الأكثر حساسية داخل الشركات الكبيرة.

يظهر حجم طلبات الفدية - وحقيقة أن المديرين التنفيذيين أنفسهم يتم استهدافهم بشكل مباشر - المخاطر الكبيرة التي تنطوي عليها المنظمات التي تعتمد على هذه الأنظمة.