Hackere udnytter Oracle-systemer, ledere rammes af krav om løsesum

Et cyberangreb med stor volumen har sat globale virksomheder i alarmberedskab, da hackere med tilknytning til Cl0p ransomware-banden går efter ledere gennem afpresningskampagner.

Angriberne hævder at have stjålet følsomme data fra Oracles E-Business Suite-applikationer, som i vid udstrækning bruges til at administrere finansielle transaktioner, forsyningskæder og kundeoptegnelser.

Ifølge sikkerhedsforskere sender hackerne afpresnings-e-mails til virksomhedsledere og kræver betalinger for at forhindre frigivelse af kompromitterede filer.

Et sådant krav nåede op på 50 millioner dollars, men indtil videre er det ikke bekræftet, at nogen ofre har betalt.

E-mails sendt til virksomhedsledere

Alphabets Google bekræftede , at hackere kontakter ledere i adskillige organisationer og hævder, at de har eksfiltreret fortrolige data fra Oracles systemer.

I en erklæring beskrev Google kampagnen som "høj volumen", men sagde, at den i øjeblikket ikke har tilstrækkelige beviser til at verificere påstandene.

E-mails, som begyndte at dukke op den 29. september eller før, blev distribueret via hundredvis af kompromitterede tredjepartskonti og deler karakteristika, der er i overensstemmelse med tidligere Cl0p-operationer.

Efterforskere bemærkede, at angriberne ser ud til at have misbrugt Oracles standardfunktion til nulstilling af adgangskode til at få gyldige legitimationsoplysninger til internetvendte portaler i E-Business Suite.

Afpresningsnotaterne, skrevet på dårligt engelsk og indeholdt grammatiske fejl, inkluderede skærmbilleder og filtræer som formodet bevis for adgang. Kontaktoplysninger, der er indlejret i meddelelserne, stemmer også overens med dem, der tidligere er knyttet til Cl0p.

Krav om løsepenge og risiko for datatyveri

Cybersikkerhedsfirmaet Halcyon rapporterede, at krav om løsepenge har været i det syv- og ottecifrede interval, med et krav så højt som 50 millioner dollars.

Angribernes taktik er ikke begrænset til kryptering af filer, men involverer massetyveri af data, hvilket kan øge presset på ofrene for at betale. Hvis virksomheder nægter, kan stjålne data lækkes eller sælges, hvilket skaber yderligere lovgivningsmæssig, økonomisk og omdømmemæssig skade.

Mens Google og Halcyon begge har knyttet kampagnen til Cl0p, understregede forskerne, at det fulde omfang af bruddet stadig er uklart. Hverken Oracle eller Cl0p svarede på anmodninger om kommentarer.

Cl0p's historie med store brud

Cl0p er kendt for at udnytte sårbarheder i udbredt virksomhedssoftware. I 2023 udførte gruppen et masseangreb på MOVEit-filoverførselsværktøjet og gjorde krav på data fra hundredvis af organisationer, herunder Shell, British Airways-ejeren IAG og BBC.

Efter denne hændelse beskrev US Cybersecurity and Infrastructure Security Agency Cl0p som en af verdens største distributører af phishing og malspam og anslår, at det havde kompromitteret mere end 3.000 organisationer i USA og 8.000 globalt.

Den aktuelle kampagne fremhæver, hvordan cyberkriminelle grupper i stigende grad fokuserer på de virksomhedsplatforme, der udgør rygraden i virksomhedernes drift.

Ved at kompromittere applikationer som Oracles E-Business Suite får angribere potentiel adgang til de mest følsomme økonomiske og operationelle data i store virksomheder.

Omfanget af krav om løsepenge – og det faktum, at lederne selv er direkte mål – viser, hvor meget der står på spil for organisationer, der er afhængige af disse systemer.