Hakerzy wykorzystują systemy Oracle, kierownictwo zostaje zażądane okupu

Zakrojony na szeroką skalę cyberatak postawił globalne korporacje w stan gotowości, ponieważ hakerzy powiązani z gangiem ransomware Cl0p atakują kadrę kierowniczą za pomocą kampanii wymuszeń.

Atakujący twierdzą, że ukradli poufne dane z aplikacji Oracle E-Business Suite, które są powszechnie używane do zarządzania transakcjami finansowymi, łańcuchami dostaw i rekordami klientów.

Według badaczy bezpieczeństwa, hakerzy wysyłają e-maile z wymuszeniami do liderów firm, żądając płatności, aby zapobiec ujawnieniu zainfekowanych plików.

Jedno z takich żądań sięgało 50 milionów dolarów, choć do tej pory nie potwierdzono, że żadna ofiara nie zapłaciła.

E-maile wysyłane do kierownictwa firmy

Google firmy Alphabet potwierdził , że hakerzy kontaktują się z kierownictwem wielu organizacji, twierdząc, że wykradli poufne dane z systemów Oracle.

W oświadczeniu Google opisał kampanię jako "masową", ale powiedział, że obecnie nie ma wystarczających dowodów, aby zweryfikować te twierdzenia.

E-maile, które zaczęły pojawiać się 29 września lub wcześniej, były dystrybuowane za pośrednictwem setek zhakowanych kont stron trzecich i mają cechy zgodne z poprzednimi operacjami Cl0p.

Śledczy zauważyli, że wydaje się, że osoby atakujące nadużyły domyślnej funkcji resetowania hasła Oracle, aby uzyskać ważne dane uwierzytelniające do internetowych portali pakietu E-Business Suite.

Notatki o wymuszeniach, napisane słabą angielszczyzną i zawierające błędy gramatyczne, zawierały zrzuty ekranu i drzewa plików jako rzekomy dowód dostępu. Dane kontaktowe osadzone w wiadomościach również są zgodne z danymi wcześniej powiązanymi z Cl0p.

Żądania okupu i ryzyko kradzieży danych

Firma Halcyon, zajmująca się cyberbezpieczeństwem, poinformowała, że żądania okupu były siedmio- i ośmiocyfrowe, a jedno żądanie sięgało nawet 50 milionów dolarów.

Taktyka atakujących nie ogranicza się do szyfrowania plików, ale obejmuje masową kradzież danych, co może zwiększyć presję na ofiary, aby zapłaciły. Jeśli firmy odmówią, skradzione dane mogą zostać ujawnione lub sprzedane, powodując dalsze szkody regulacyjne, finansowe i wizerunkowe.

Podczas gdy zarówno Google, jak i Halcyon powiązały kampanię z Cl0p, badacze podkreślili, że pełna skala naruszenia pozostaje niejasna. Ani Oracle, ani Cl0p nie odpowiedziały na prośby o komentarz.

Historia naruszeń na dużą skalę w Cl0p

Cl0p jest znany z wykorzystywania luk w powszechnie używanym oprogramowaniu korporacyjnym. W 2023 roku grupa przeprowadziła masowy atak na narzędzie do przesyłania plików MOVEit, przejmując dane od setek organizacji, w tym Shella, właściciela British Airways IAG i BBC.

Po tym incydencie amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury opisała Cl0p jako jednego z największych na świecie dystrybutorów phishingu i złośliwego spamu, szacując, że naraził na szwank ponad 3000 organizacji w USA i 8000 na całym świecie.

Obecna kampania pokazuje, że grupy cyberprzestępcze coraz częściej koncentrują się na platformach korporacyjnych, które stanowią podstawę działalności korporacyjnej.

Atakując aplikacje, takie jak pakiet Oracle E-Business Suite, osoby atakujące uzyskują potencjalny dostęp do najbardziej wrażliwych danych finansowych i operacyjnych w dużych firmach.

Skala żądań okupu – oraz fakt, że sami dyrektorzy są bezpośrednio celem ataków – pokazuje, jak wysoka stawka wiąże się z organizacjami zależnymi od tych systemów.