Hackers maken misbruik van Oracle-systemen, leidinggevenden worden getroffen door losgeld

Een grootschalige cyberaanval heeft internationale bedrijven alert gemaakt, aangezien hackers die banden hebben met de Cl0p ransomware-bende zich richten op leidinggevenden door middel van afpersingscampagnes.

De aanvallers beweren gevoelige gegevens te hebben gestolen uit de E-Business Suite-applicaties van Oracle, die veel worden gebruikt om financiële transacties, toeleveringsketens en klantgegevens te beheren.

Volgens beveiligingsonderzoekers sturen de hackers afpersingsmails naar bedrijfsleiders waarin ze betalingen eisen om te voorkomen dat gecompromitteerde bestanden worden vrijgegeven.

Een van die eisen bedroeg $ 50 miljoen, hoewel tot nu toe niet is bevestigd dat het slachtoffer heeft betaald.

E-mails verzonden naar leidinggevenden van bedrijven

Google van Alphabet bevestigde dat hackers contact opnemen met leidinggevenden bij tal van organisaties en beweren dat ze vertrouwelijke gegevens uit de systemen van Oracle hebben geëxfiltreerd.

In een verklaring beschreef Google de campagne als "hoog volume", maar zei dat het momenteel niet over voldoende bewijs beschikt om de beweringen te verifiëren.

De e-mails, die op of vóór 29 september begonnen te verschijnen, werden verspreid via honderden gecompromitteerde accounts van derden en delen kenmerken die consistent zijn met eerdere Cl0p-operaties.

Onderzoekers merkten op dat de aanvallers misbruik lijken te hebben gemaakt van Oracle's standaard wachtwoord-resetfunctie om geldige inloggegevens te verkrijgen voor internetgerichte portals van de E-Business Suite.

De afpersingsnota's, geschreven in slecht Engels en met grammaticale fouten, bevatten screenshots en bestandsbomen als verondersteld bewijs van toegang. Contactgegevens die in de berichten zijn ingesloten, komen ook overeen met de contactgegevens die eerder aan Cl0p zijn gekoppeld.

Losgeldeisen en risico's van gegevensdiefstal

Cyberbeveiligingsbedrijf Halcyon meldde dat de losgeldeisen in het bereik van zeven en acht cijfers lagen, met een eis van maar liefst $ 50 miljoen.

De tactiek van de aanvallers is niet beperkt tot het versleutelen van bestanden, maar omvat massale gegevensdiefstal, wat de druk op slachtoffers om te betalen kan verhogen. Als bedrijven weigeren, kunnen gestolen gegevens worden gelekt of verkocht, wat verdere regelgevende, financiële en reputatieschade kan veroorzaken.

Hoewel Google en Halcyon beide de campagne aan Cl0p hebben gekoppeld, benadrukten onderzoekers dat de volledige omvang van de inbreuk onduidelijk blijft. Noch Oracle, noch Cl0p reageerden op verzoeken om commentaar.

Cl0p's geschiedenis van grootschalige inbreuken

Cl0p staat bekend om het misbruiken van kwetsbaarheden in veelgebruikte bedrijfssoftware. In 2023 voerde de groep een massale aanval uit op de MOVEit-tool voor bestandsoverdracht, waarbij gegevens werden geclaimd van honderden organisaties, waaronder Shell, British Airways-eigenaar IAG en de BBC.

Na dat incident beschreef het Amerikaanse Cybersecurity and Infrastructure Security Agency Cl0p als een van 's werelds grootste distributeurs van phishing en malspam, en schatte dat het meer dan 3.000 organisaties in de VS en 8.000 wereldwijd had gecompromitteerd.

De huidige campagne laat zien hoe cybercriminele groepen zich steeds meer richten op de bedrijfsplatforms die de ruggengraat vormen van bedrijfsactiviteiten.

Door applicaties zoals Oracle's E-Business Suite te compromitteren, krijgen aanvallers potentiële toegang tot de meest gevoelige financiële en operationele gegevens binnen grote bedrijven.

De omvang van de losgeldeisen - en het feit dat leidinggevenden zelf rechtstreeks het doelwit zijn - toont aan dat er veel op het spel staat voor organisaties die afhankelijk zijn van deze systemen.