Bilgisayar korsanları Oracle sistemlerini istismar ediyor, yöneticiler fidye talep ediyor

Yüksek hacimli bir siber saldırı, Cl0p fidye yazılımı çetesiyle bağlantılı bilgisayar korsanlarının şantaj kampanyaları yoluyla yöneticileri hedef almasıyla küresel şirketleri alarma geçirdi.

Saldırganlar, finansal işlemleri, tedarik zincirlerini ve müşteri kayıtlarını yönetmek için yaygın olarak kullanılan Oracle'ın E-Business Suite uygulamalarından hassas verileri çaldıklarını iddia ediyor.

Güvenlik araştırmacılarına göre bilgisayar korsanları, güvenliği ihlal edilmiş dosyaların yayınlanmasını önlemek için şirket liderlerine ödeme talep eden şantaj e-postaları gönderiyor .

Böyle bir talep 50 milyon dolara ulaştı, ancak şu ana kadar hiçbir kurbanın ödeme yaptığı doğrulanmadı.

Şirket yöneticilerine gönderilen e-postalar

Alphabet'in Google'ı , bilgisayar korsanlarının Oracle'ın sistemlerinden gizli verileri sızdırdıklarını iddia ederek çok sayıda kuruluştaki yöneticilerle iletişime geçtiğini doğruladı.

Google yaptığı açıklamada kampanyayı "yüksek hacimli" olarak nitelendirdi ancak şu anda iddiaları doğrulamak için yeterli kanıta sahip olmadığını söyledi.

29 Eylül'de veya öncesinde görünmeye başlayan e-postalar, güvenliği ihlal edilmiş yüzlerce üçüncü taraf hesabı aracılığıyla dağıtıldı ve önceki Cl0p işlemleriyle tutarlı özellikler paylaştı.

Müfettişler, saldırganların, E-Business Suite'in internete bakan portalları için geçerli kimlik bilgileri elde etmek amacıyla Oracle'ın varsayılan parola sıfırlama işlevini kötüye kullanmış gibi göründüğünü belirtti.

Kötü bir İngilizceyle yazılmış ve dilbilgisi hataları içeren gasp notları, sözde erişim kanıtı olarak ekran görüntüleri ve dosya ağaçları içeriyordu. İletilere gömülü kişi bilgileri, daha önce Cl0p ile ilişkilendirilmiş kişilerle de eşleşir.

Fidye talepleri ve veri hırsızlığı riskleri

Siber güvenlik firması Halcyon, fidye taleplerinin yedi ve sekiz haneli aralıklarda olduğunu ve bir talebin 50 milyon dolara kadar çıktığını bildirdi.

Saldırganların taktiği dosyaları şifrelemekle sınırlı değil, aynı zamanda kurbanlar üzerindeki ödeme baskısını artırabilecek toplu veri hırsızlığını da içeriyor. Şirketler reddederse, çalınan veriler sızdırılabilir veya satılabilir, bu da daha fazla düzenleyici, mali ve itibar kaybına neden olabilir.

Google ve Halcyon, kampanyayı Cl0p'ye bağlamış olsa da, araştırmacılar ihlalin tam boyutunun belirsizliğini koruduğunu vurguladı. Ne Oracle ne de Cl0p yorum taleplerine yanıt vermedi.

Cl0p'nin büyük ölçekli ihlal geçmişi

Cl0p, yaygın olarak kullanılan kurumsal yazılımlardaki güvenlik açıklarından yararlanmasıyla bilinir. Grup, 2023 yılında MOVEit dosya aktarım aracına toplu bir saldırı düzenleyerek Shell, British Airways'in sahibi IAG ve BBC'nin de aralarında bulunduğu yüzlerce kuruluştan veri talep etti.

Bu olayın ardından ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Cl0p'yi dünyanın en büyük kimlik avı ve kötü amaçlı spam dağıtıcılarından biri olarak tanımladı ve ABD'de 3.000'den fazla ve dünya çapında 8.000'den fazla kuruluşun güvenliğini ihlal ettiğini tahmin etti.

Mevcut kampanya, siber suçlu gruplarının kurumsal operasyonların omurgasını oluşturan kurumsal platformlara nasıl giderek daha fazla odaklandığını vurguluyor.

Saldırganlar, Oracle'ın E-Business Suite gibi uygulamaları tehlikeye atarak büyük şirketlerdeki en hassas finansal ve operasyonel verilere potansiyel erişim elde eder.

Fidye taleplerinin ölçeği ve yöneticilerin kendilerinin doğrudan hedef alındığı gerçeği, bu sistemlere bağımlı kuruluşlar için ne kadar yüksek riskler olduğunu gösteriyor.