Hackere utnytter Oracle-systemer, ledere rammes av løsepengekrav

Et cyberangrep med høyt volum har satt globale selskaper i beredskap ettersom hackere knyttet til Cl0p ransomware-gjengen retter seg mot ledere gjennom utpressingskampanjer.

Angriperne hevder å ha stjålet sensitive data fra Oracles E-Business Suite-applikasjoner, som er mye brukt til å administrere økonomiske transaksjoner, forsyningskjeder og kunderegistre.

Ifølge sikkerhetsforskere sender hackerne utpressings-e-poster til bedriftsledere som krever betalinger for å forhindre utgivelse av kompromitterte filer.

Et slikt krav nådde 50 millioner dollar, selv om det så langt ikke er bekreftet at noe offer har betalt.

E-poster sendt til bedriftsledere

Alphabets Google bekreftet at hackere kontakter ledere i en rekke organisasjoner, og hevder at de har eksfiltrert konfidensielle data fra Oracles systemer.

I en uttalelse beskrev Google kampanjen som «høyt volum», men sa at den foreløpig ikke har tilstrekkelig bevis til å bekrefte påstandene.

E-postene, som begynte å dukke opp på eller før 29 september, ble distribuert via hundrevis av kompromitterte tredjepartskontoer og deler egenskaper som samsvarer med tidligere Cl0p-operasjoner.

Etterforskere bemerket at angriperne ser ut til å ha misbrukt Oracles standard passordtilbakestillingsfunksjon for å få gyldig legitimasjon for internettvendte portaler til E-Business Suite.

Utpressingsnotatene, skrevet på dårlig engelsk og inneholdt grammatiske feil, inkluderte skjermbilder og filtrær som antatt bevis på tilgang. Kontaktinformasjon som er innebygd i meldingene, samsvarer også med de som tidligere var knyttet til Cl0p.

Krav om løsepenger og risiko for datatyveri

Cybersikkerhetsfirmaet Halcyon rapporterte at krav om løsepenger har vært i syv- og åttesifret område, med ett krav så høyt som 50 millioner dollar.

Angripernes taktikk er ikke begrenset til å kryptere filer, men involverer massetyveri av data, noe som kan øke presset på ofrene til å betale. Hvis selskaper nekter, kan stjålne data lekkes eller selges, noe som skaper ytterligere regulatorisk, økonomisk og omdømmemessig skade.

Mens Google og Halcyon begge har knyttet kampanjen til Cl0p, understreket forskere at det fulle omfanget av bruddet fortsatt er uklart. Verken Oracle eller Cl0p svarte på forespørsler om kommentarer.

Cl0ps historie med store brudd

Cl0p er kjent for å utnytte sårbarheter i mye brukt bedriftsprogramvare. I 2023 gjennomførte gruppen et masseangrep på filoverføringsverktøyet MOVEit, og krevde data fra hundrevis av organisasjoner, inkludert Shell, British Airways-eier IAG og BBC.

Etter den hendelsen beskrev US Cybersecurity and Infrastructure Security Agency Cl0p som en av verdens største distributører av phishing og feilspam, og estimerte at den hadde kompromittert mer enn 3,000 organisasjoner i USA og 8,000 globalt.

Den nåværende kampanjen fremhever hvordan nettkriminelle grupper i økende grad fokuserer på bedriftsplattformene som utgjør ryggraden i bedriftens drift.

Ved å kompromittere applikasjoner som Oracles E-Business Suite, får angripere potensiell tilgang til de mest sensitive økonomiske og operasjonelle dataene i store selskaper.

Omfanget av løsepengekrav – og det faktum at lederne selv blir direkte målrettet – viser hvor mye som står på spill for organisasjoner som er avhengige av disse systemene.