Des pirates informatiques exploitent les systèmes Oracle, les dirigeants reçoivent des demandes de rançon

Une cyberattaque de grande ampleur a mis les entreprises mondiales en état d’alerte, alors que des pirates informatiques liés au gang de ransomware Cl0p ciblent les dirigeants par le biais de campagnes d’extorsion.

Les attaquants affirment avoir volé des données sensibles dans les applications E-Business Suite d’Oracle, qui sont largement utilisées pour gérer les transactions financières, les chaînes d’approvisionnement et les dossiers des clients.

Selon les chercheurs en sécurité, les pirates envoient des e-mails d’extorsion aux dirigeants de l’entreprise pour exiger des paiements afin d’empêcher la publication de fichiers compromis.

L’une de ces demandes a atteint 50 millions de dollars, bien qu’aucune victime n’ait été confirmée jusqu’à présent.

E-mails envoyés aux dirigeants de l’entreprise

Google d’Alphabet a confirmé que des pirates informatiques contactent des dirigeants de nombreuses organisations, alléguant qu’ils ont exfiltré des données confidentielles des systèmes d’Oracle.

Dans un communiqué, Google a décrit la campagne comme étant « à haut volume », mais a déclaré qu’il ne disposait pas actuellement de preuves suffisantes pour vérifier les affirmations.

Les e-mails, qui ont commencé à apparaître le 29 septembre ou avant, ont été distribués via des centaines de comptes tiers compromis et partagent des caractéristiques conformes aux opérations précédentes de Cl0p.

Les enquêteurs ont noté que les attaquants semblent avoir abusé de la fonction de réinitialisation de mot de passe par défaut d’Oracle pour obtenir des informations d’identification valides pour les portails Internet de la suite E-Business.

Les notes d’extorsion, rédigées dans un anglais médiocre et contenant des fautes de grammaire, comprenaient des captures d’écran et des arbres de fichiers comme preuve supposée d’accès. Les coordonnées intégrées dans les messages correspondent également à celles précédemment associées à Cl0p.

Demandes de rançon et risques de vol de données

La société de cybersécurité Halcyon a indiqué que les demandes de rançon étaient de l’ordre de sept à huit chiffres, avec une demande pouvant atteindre 50 millions de dollars.

La tactique des attaquants ne se limite pas au cryptage des fichiers, mais implique un vol massif de données, ce qui peut augmenter la pression sur les victimes pour qu’elles paient. Si les entreprises refusent, les données volées pourraient être divulguées ou vendues, ce qui entraînerait d’autres dommages réglementaires, financiers et de réputation.

Alors que Google et Halcyon ont tous deux lié la campagne à Cl0p, les chercheurs ont souligné que l’ampleur réelle de la violation reste incertaine. Ni Oracle ni Cl0p n’ont répondu aux demandes de commentaires.

L’historique des violations à grande échelle de Cl0p

Cl0p est connu pour exploiter les vulnérabilités des logiciels d’entreprise largement utilisés. En 2023, le groupe a mené une attaque de masse contre l’outil de transfert de fichiers MOVEit, revendiquant les données de centaines d’organisations, dont Shell, IAG, propriétaire de British Airways, et la BBC.

À la suite de cet incident, l’Agence américaine de cybersécurité et de sécurité des infrastructures a décrit Cl0p comme l’un des plus grands distributeurs mondiaux de phishing et de malspam, estimant qu’il avait compromis plus de 3 000 organisations aux États-Unis et 8 000 dans le monde.

La campagne actuelle met en évidence la façon dont les groupes cybercriminels se concentrent de plus en plus sur les plateformes d’entreprise qui constituent l’épine dorsale des opérations de l’entreprise.

En compromettant des applications telles que E-Business Suite d’Oracle, les attaquants accèdent potentiellement aux données financières et opérationnelles les plus sensibles des grandes entreprises.

L’ampleur des demandes de rançon – et le fait que les dirigeants eux-mêmes sont directement ciblés – montre l’importance des enjeux pour les organisations dépendantes de ces systèmes.