Hackerii exploatează sistemele Oracle, iar directorii sunt loviți de cereri de răscumpărare

Un atac cibernetic de mare volum a pus corporațiile globale în alertă, deoarece hackerii legați de banda de ransomware Cl0p vizează directorii prin campanii de extorcare.

Atacatorii susțin că au furat date sensibile din aplicațiile E-Business Suite de la Oracle, care sunt utilizate pe scară largă pentru a gestiona tranzacțiile financiare, lanțurile de aprovizionare și înregistrările clienților.

Potrivit cercetătorilor în securitate, hackerii trimit e-mailuri de extorcare liderilor companiei cerând plăți pentru a preveni eliberarea fișierelor compromise.

O astfel de cerere a ajuns la 50 de milioane de dolari, deși până acum nu s-a confirmat că nicio victimă a plătit.

E-mailuri trimise directorilor companiei

Google de la Alphabet a confirmat că hackerii contactează directori de la numeroase organizații, susținând că au exfiltrat date confidențiale din sistemele Oracle.

Într-o declarație, Google a descris campania ca fiind "cu volum mare", dar a spus că nu are în prezent suficiente dovezi pentru a verifica afirmațiile.

E-mailurile, care au început să apară pe sau înainte de 29 septembrie, au fost distribuite prin intermediul a sute de conturi terțe compromise și împărtășesc caracteristici în concordanță cu operațiunile anterioare Cl0p.

Anchetatorii au remarcat că atacatorii par să fi abuzat de funcția implicită de resetare a parolei Oracle pentru a obține acreditări valide pentru portalurile orientate spre internet ale E-Business Suite.

Notele de extorcare, scrise într-o engleză proastă și conținând erori gramaticale, includeau capturi de ecran și arbori de fișiere ca presupusă dovadă a accesului. Detaliile de contact încorporate în mesaje se potrivesc, de asemenea, cu cele asociate anterior cu Cl0p.

Solicitări de răscumpărare și riscuri de furt de date

Firma de securitate cibernetică Halcyon a raportat că cererile de răscumpărare au fost de șapte și opt cifre, cu o cerere de până la 50 de milioane de dolari.

Tactica atacatorilor nu se limitează la criptarea fișierelor, ci implică furtul de date în masă, ceea ce poate crește presiunea asupra victimelor pentru a plăti. Dacă companiile refuză, datele furate ar putea fi scurse sau vândute, creând daune suplimentare de reglementare, financiare și reputaționale.

În timp ce Google și Halcyon au legat campania de Cl0p, cercetătorii au subliniat că amploarea completă a breșei rămâne neclară. Nici Oracle, nici Cl0p nu au răspuns solicitărilor de comentarii.

Istoricul de breșe la scară largă al Cl0p

Cl0p este cunoscut pentru exploatarea vulnerabilităților din software-ul enterprise utilizat pe scară largă. În 2023, grupul a efectuat un atac în masă asupra instrumentului de transfer de fișiere MOVEit, revendicând date de la sute de organizații, inclusiv Shell, proprietarul British Airways IAG și BBC.

În urma acestui incident, Agenția de Securitate Cibernetică și Securitate a Infrastructurii din SUA a descris Cl0p ca fiind unul dintre cei mai mari distribuitori de phishing și malspam din lume, estimând că a compromis peste 3.000 de organizații din SUA și 8.000 la nivel global.

Campania actuală evidențiază modul în care grupurile infracționale cibernetice se concentrează din ce în ce mai mult pe platformele de întreprindere care formează coloana vertebrală a operațiunilor corporative.

Prin compromiterea aplicațiilor precum E-Business Suite de la Oracle, atacatorii obțin acces potențial la cele mai sensibile date financiare și operaționale din cadrul companiilor mari.

Amploarea cererilor de răscumpărare – și faptul că directorii înșiși sunt vizați direct – arată mizele mari implicate pentru organizațiile dependente de aceste sisteme.