Gli hacker sfruttano i sistemi Oracle, i dirigenti sono colpiti da richieste di riscatto

Un attacco informatico ad alto volume ha messo in allerta le aziende globali, poiché gli hacker legati alla banda di ransomware Cl0p prendono di mira i dirigenti attraverso campagne di estorsione.

Gli aggressori affermano di aver rubato dati sensibili dalle applicazioni E-Business Suite di Oracle, ampiamente utilizzate per gestire le transazioni finanziarie, le catene di approvvigionamento e i record dei clienti.

Secondo i ricercatori di sicurezza, gli hacker stanno inviando e-mail di estorsione ai leader dell'azienda chiedendo pagamenti per impedire il rilascio di file compromessi.

Una di queste richieste ha raggiunto i 50 milioni di dollari, anche se finora non è stato confermato che nessuna vittima abbia pagato.

Email inviate ai dirigenti aziendali

Google di Alphabet ha confermato che gli hacker stanno contattando i dirigenti di numerose organizzazioni, sostenendo che hanno esfiltrato dati riservati dai sistemi di Oracle.

In una dichiarazione, Google ha descritto la campagna come "ad alto volume", ma ha affermato di non avere attualmente prove sufficienti per verificare le affermazioni.

Le e-mail, che hanno iniziato a comparire il 29 settembre o prima, sono state distribuite tramite centinaia di account di terze parti compromessi e condividono caratteristiche coerenti con le precedenti operazioni di Cl0p.

Gli investigatori hanno notato che gli aggressori sembrano aver abusato della funzione di reimpostazione della password predefinita di Oracle per ottenere credenziali valide per i portali Internet della E-Business Suite.

Le note di estorsione, scritte in un inglese scadente e contenenti errori grammaticali, includevano screenshot e alberi di file come presunta prova di accesso. I dettagli di contatto incorporati nei messaggi corrispondono anche a quelli precedentemente associati a Cl0p.

Richieste di riscatto e rischi di furto di dati

La società di sicurezza informatica Halcyon ha riferito che le richieste di riscatto sono state comprese tra le sette e le otto cifre, con una richiesta fino a 50 milioni di dollari.

La tattica degli aggressori non si limita alla crittografia dei file, ma prevede il furto di dati di massa, che può aumentare la pressione sulle vittime per il pagamento. Se le aziende si rifiutano, i dati rubati potrebbero essere divulgati o venduti, creando ulteriori danni normativi, finanziari e reputazionali.

Mentre Google e Halcyon hanno entrambi collegato la campagna a Cl0p, i ricercatori hanno sottolineato che l'intera portata della violazione rimane poco chiara. Né Oracle né Cl0p hanno risposto alle richieste di commento.

La storia delle violazioni su larga scala di Cl0p

Cl0p è noto per sfruttare le vulnerabilità del software aziendale ampiamente utilizzato. Nel 2023, il gruppo ha effettuato un attacco di massa allo strumento di trasferimento file MOVEit, rivendicando dati da centinaia di organizzazioni tra cui Shell, IAG, proprietaria di British Airways, e la BBC.

A seguito di quell'incidente, la Cybersecurity and Infrastructure Security Agency degli Stati Uniti ha descritto Cl0p come uno dei maggiori distributori mondiali di phishing e malspam, stimando di aver compromesso più di 3.000 organizzazioni negli Stati Uniti e 8.000 a livello globale.

L'attuale campagna evidenzia come i gruppi di criminali informatici si stiano concentrando sempre più sulle piattaforme aziendali che costituiscono la spina dorsale delle operazioni aziendali.

Compromettendo applicazioni come Oracle E-Business Suite, gli aggressori ottengono il potenziale accesso ai dati finanziari e operativi più sensibili all'interno delle grandi aziende.

L'entità delle richieste di riscatto e il fatto che gli stessi dirigenti siano direttamente presi di mira mostra l'alta posta in gioco per le organizzazioni che dipendono da questi sistemi.