Hackare utnyttjar Oracles system, chefer drabbas av krav på lösensumma

En cyberattack med hög volym har satt globala företag i beredskap eftersom hackare kopplade till Cl0p-ransomware-gänget riktar in sig på chefer genom utpressningskampanjer.

Angriparna hävdar att de har stulit känsliga uppgifter från Oracles E-Business Suite-applikationer, som ofta används för att hantera finansiella transaktioner, leveranskedjor och kundregister.

Enligt säkerhetsforskare skickar hackarna utpressningsmejl till företagsledare och kräver betalningar för att förhindra att komprometterade filer släpps.

Ett sådant krav uppgick till 50 miljoner dollar, men hittills har inget offer bekräftats ha betalat.

E-postmeddelanden som skickas till företagsledare

Alphabets Google bekräftade att hackare kontaktar chefer på flera organisationer och hävdar att de har exfiltrerat konfidentiell data från Oracles system.

I ett uttalande beskrev Google kampanjen som "hög volym" men sa att de för närvarande inte har tillräckliga bevis för att verifiera påståendena.

E-postmeddelandena, som började dyka upp den 29 september eller tidigare, distribuerades via hundratals komprometterade tredjepartskonton och delar egenskaper som överensstämmer med tidigare Cl0p-operationer.

Utredarna noterade att angriparna verkar ha missbrukat Oracles standardfunktion för återställning av lösenord för att få giltiga autentiseringsuppgifter för internetriktade portaler i E-Business Suite.

Utpressningslapparna, skrivna på dålig engelska och innehållande grammatiska fel, innehöll skärmdumpar och filträd som förmodat bevis på åtkomst. Kontaktuppgifter som är inbäddade i meddelandena matchar också de som tidigare var kopplade till Cl0p.

Krav på lösensumma och risk för datastöld

Cybersäkerhetsföretaget Halcyon rapporterade att kraven på lösensummor har legat i sju- och åttasiffriga belopp, med ett krav så högt som 50 miljoner dollar.

Angriparnas taktik är inte begränsad till att kryptera filer utan innebär massstöld av data, vilket kan öka trycket på offren att betala. Om företagen vägrar kan stulna uppgifter läcka ut eller säljas, vilket skapar ytterligare skador på lagstiftningen, ekonomin och ryktet.

Även om Google och Halcyon båda har kopplat kampanjen till Cl0p, betonade forskare att den fulla omfattningen av intrånget fortfarande är oklar. Varken Oracle eller Cl0p har svarat på förfrågningar om kommentarer.

Cl0p:s historia av storskaliga intrång

Cl0p är känt för att utnyttja sårbarheter i allmänt använd företagsprogramvara. År 2023 genomförde gruppen en massattack mot filöverföringsverktyget MOVEit och gjorde anspråk på data från hundratals organisationer, inklusive Shell, British Airways ägare IAG och BBC.

Efter den incidenten beskrev US Cybersecurity and Infrastructure Security Agency Cl0p som en av världens största distributörer av phishing och malspam, och uppskattade att den hade komprometterat mer än 3 000 organisationer i USA och 8 000 globalt.

Den aktuella kampanjen belyser hur cyberkriminella grupper i allt högre grad fokuserar på de företagsplattformar som utgör ryggraden i företagens verksamhet.

Genom att kompromettera applikationer som Oracles E-Business Suite får angripare potentiell tillgång till de mest känsliga finansiella och operativa data inom stora företag.

Omfattningen av kraven på lösensummor – och det faktum att cheferna själva är direkt måltavlor – visar hur mycket som står på spel för organisationer som är beroende av dessa system.