Hakkerit käyttävät hyväkseen Oraclen järjestelmiä, johtajat vaativat lunnaita

Suuren volyymin kyberhyökkäys on saanut maailmanlaajuiset yritykset hälytystilaan, kun Cl0p-kiristysohjelmajengiin liittyvät hakkerit kohdistavat johtajia kiristyskampanjoiden kautta.

Hyökkääjät väittävät varastaneensa arkaluonteisia tietoja Oraclen E-Business Suite -sovelluksista, joita käytetään laajalti rahoitustapahtumien, toimitusketjujen ja asiakastietojen hallintaan.

Tietoturvatutkijoiden mukaan hakkerit lähettävät kiristyssähköposteja yritysjohtajille, joissa vaaditaan maksuja vaarantuneiden tiedostojen julkaisemisen estämiseksi.

Yksi tällainen vaatimus saavutti 50 miljoonaa dollaria, vaikka toistaiseksi yhdenkään uhrin ei ole vahvistettu maksaneen.

Yritysjohtajille lähetetyt sähköpostit

Alphabetin Google vahvisti , että hakkerit ottavat yhteyttä useiden organisaatioiden johtajiin väittäen, että he ovat suodattaneet luottamuksellisia tietoja Oraclen järjestelmistä.

Google kuvaili lausunnossaan kampanjaa "suureksi volyymiksi", mutta sanoi, että sillä ei tällä hetkellä ole riittävästi todisteita väitteiden vahvistamiseksi.

Sähköpostit, jotka alkoivat ilmestyä 29. syyskuuta tai sitä ennen, jaettiin satojen vaarantuneiden kolmannen osapuolen tilien kautta, ja niillä on aiempien Cl0p-operaatioiden mukaiset ominaisuudet.

Tutkijat huomauttivat, että hyökkääjät näyttävät käyttäneen väärin Oraclen oletusarvoista salasanan palautustoimintoa saadakseen kelvolliset tunnistetiedot E-Business Suiten Internetiin päin oleviin portaaleihin.

Kiristysmuistiinpanot, jotka oli kirjoitettu huonolla englannilla ja sisälsivät kielioppivirheitä, sisälsivät kuvakaappauksia ja tiedostopuita oletettuna todisteena pääsystä. Viesteihin upotetut yhteystiedot vastaavat myös Cl0p:hen aiemmin liitettyjä yhteystietoja.

Lunnasvaatimukset ja tietovarkausriskit

Kyberturvallisuusyritys Halcyon raportoi, että lunnaat ovat olleet seitsen- ja kahdeksannumeroisia, ja yksi vaatimus on jopa 50 miljoonaa dollaria.

Hyökkääjien taktiikka ei rajoitu tiedostojen salaamiseen, vaan siihen liittyy joukkotietovarkauksia, jotka voivat lisätä uhrien maksupainetta. Jos yritykset kieltäytyvät, varastetut tiedot voivat vuotaa tai myydä, mikä aiheuttaa lisää sääntely-, taloudellisia ja mainehaittoja.

Vaikka Google ja Halcyon ovat molemmat yhdistäneet kampanjan Cl0p:hen, tutkijat korostivat, että tietomurron koko laajuus on edelleen epäselvä. Oracle ja Cl0p eivät vastanneet kommenttipyyntöihin.

Cl0p:n laajamittaisten tietomurtojen historia

Cl0p tunnetaan laajalti käytettyjen yritysohjelmistojen haavoittuvuuksien hyödyntämisestä. Vuonna 2023 ryhmä teki joukkohyökkäyksen MOVEit-tiedostonsiirtotyökalua vastaan ja vaati tietoja sadoilta organisaatioilta, mukaan lukien Shell, British Airwaysin omistaja IAG ja BBC.

Tapauksen jälkeen Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto kuvaili Cl0p:tä yhdeksi maailman suurimmista tietojenkalastelun ja roskapostin jakelijoista ja arvioi, että se oli vaarantanut yli 3 000 organisaatiota Yhdysvalloissa ja 8 000 maailmanlaajuisesti.

Käynnissä oleva kampanja korostaa, kuinka kyberrikollisryhmät keskittyvät yhä enemmän yritysalustoihin, jotka muodostavat yritysten toiminnan selkärangan.

Vaarantamalla sovellukset, kuten Oraclen E-Business Suite, hyökkääjät pääsevät käsiksi suurten yritysten arkaluontoisimpiin talous- ja toiminnallisiin tietoihin.

Lunnasvaatimusten laajuus – ja se, että johtajat itse ovat suoraan kohteena – osoittavat, kuinka suuret panokset näistä järjestelmistä riippuvaisille organisaatioille ovat.