Hackers exploram sistemas Oracle, executivos são atingidos por pedidos de resgate

Um ataque cibernético de alto volume colocou as corporações globais em alerta, pois hackers ligados à gangue de ransomware Cl0p visam executivos por meio de campanhas de extorsão.

Os invasores afirmam ter roubado dados confidenciais dos aplicativos E-Business Suite da Oracle, que são amplamente usados para gerenciar transações financeiras, cadeias de suprimentos e registros de clientes.

De acordo com pesquisadores de segurança, os hackers estão enviando e-mails de extorsão aos líderes da empresa exigindo pagamentos para evitar a liberação de arquivos comprometidos.

Uma dessas demandas chegou a US $ 50 milhões, embora até agora nenhuma vítima tenha sido confirmada como tendo pago.

E-mails enviados aos executivos da empresa

O Google, da Alphabet, confirmou que os hackers estão entrando em contato com executivos de várias organizações, alegando que eles exfiltraram dados confidenciais dos sistemas da Oracle.

Em um comunicado, o Google descreveu a campanha como "alto volume", mas disse que atualmente não tem evidências suficientes para verificar as alegações.

Os e-mails, que começaram a aparecer em ou antes de 29 de setembro, foram distribuídos por meio de centenas de contas de terceiros comprometidas e compartilham características consistentes com as operações anteriores do Cl0p.

Os investigadores observaram que os invasores parecem ter abusado da função de redefinição de senha padrão da Oracle para obter credenciais válidas para portais voltados para a Internet do E-Business Suite.

As notas de extorsão, escritas em inglês pobre e contendo erros gramaticais, incluíam capturas de tela e árvores de arquivos como suposta prova de acesso. Os detalhes de contato incorporados nas mensagens também correspondem aos anteriormente associados ao Cl0p.

Pedidos de resgate e riscos de roubo de dados

A empresa de segurança cibernética Halcyon informou que os pedidos de resgate estão na faixa de sete e oito dígitos, com uma demanda de até US$ 50 milhões.

A tática dos invasores não se limita a criptografar arquivos, mas envolve roubo de dados em massa, o que pode aumentar a pressão sobre as vítimas para pagar. Se as empresas se recusarem, os dados roubados podem vazar ou vender, criando mais danos regulatórios, financeiros e de reputação.

Embora o Google e a Halcyon tenham vinculado a campanha ao Cl0p, os pesquisadores enfatizaram que a escala total da violação permanece incerta. Nem a Oracle nem a Cl0p responderam aos pedidos de comentários.

O histórico de violações em grande escala da Cl0p

Cl0p é conhecido por explorar vulnerabilidades em software corporativo amplamente utilizado. Em 2023, o grupo realizou um ataque em massa à ferramenta de transferência de arquivos MOVEit, reivindicando dados de centenas de organizações, incluindo a Shell, a IAG, proprietária da British Airways, e a BBC.

Após esse incidente, a Agência de Segurança Cibernética e Infraestrutura dos EUA descreveu o Cl0p como um dos maiores distribuidores mundiais de phishing e malspam, estimando que havia comprometido mais de 3.000 organizações nos EUA e 8.000 globalmente.

A campanha atual destaca como os grupos cibercriminosos estão se concentrando cada vez mais nas plataformas corporativas que formam a espinha dorsal das operações corporativas.

Ao comprometer aplicativos como o E-Business Suite da Oracle, os invasores obtêm acesso potencial aos dados financeiros e operacionais mais confidenciais em grandes empresas.

A escala dos pedidos de resgate – e o fato de que os próprios executivos estão sendo diretamente visados – mostra os altos riscos envolvidos para as organizações dependentes desses sistemas.