Un’ondata di email estorsive sta colpendo dirigenti e reparti IT di grandi aziende che usano le applicazioni Oracle. Gli hacker, che si dichiarano affiliati al gruppo ransomware Cl0p, sostengono di aver violato la Oracle E-Business Suite e rubato dati sensibili.
Secondo Google, che ha segnalato la campagna ma senza confermarne la veridicità, le email arrivano da centinaia di account compromessi e includono prove della presunta intrusione. La società di sicurezza Halcyon riferisce che gli hacker avrebbero sfruttato la funzione di reset password per ottenere accessi validi e che in alcuni casi le richieste di riscatto hanno raggiunto i 50 milioni di dollari.
Cl0p è già noto per attacchi su larga scala e per richieste multimilionarie, rafforzando i timori che questa campagna rappresenti una minaccia seria per molte organizzazioni globali. La gang è attiva da febbraio 2019 e opera come gruppo “ransomware-as-a-service”. Gli attori del dark web assumono i suoi servizi o utilizzano il suo software per eseguire attacchi
Tutti i dettagli.
VIOLAZIONE DELLA ORACLE E-BUSINESS SUITE
Un gruppo di hacker ha affermato di aver violato Oracle E-Business Suite, che gestisce le operazioni principali, tra cui la gestione finanziaria, della supply chain e delle relazioni con i clienti.
Secondo l’azienda di sicurezza informatica Halcyon, gli hacker hanno compromesso le email degli utenti e abusato della funzione predefinita di reimpostazione della password per ottenere credenziali valide per i portali Oracle E-Business Suite accessibili da Internet. In un caso, hanno chiesto un riscatto fino a 50 milioni di dollari, sempre secondo Halcyon, che sta attualmente rispondendo alla campagna, rileva Bloomberg.
Il gruppo ha iniziato a inviare email estorsive entro il 29 settembre, in base a quanto sostiene Genevieve Stark, responsabile della divisione cybercrime del Google Threat Intelligence Group. Le email provenivano da centinaia di account di terze parti compromessi e rivendicavano il furto di dati, ha aggiunto.
COSA HA ACCERTATO GOOGLE
In una dichiarazione, Google ha affermato che un gruppo che rivendica l’affiliazione con la gang di ransomware cl0p, stava inviando email a “dirigenti di numerose organizzazioni che affermano di aver rubato dati sensibili dalla loro Oracle E-Business Suite”, riporta Reuters.
Google ha avvertito di “non disporre attualmente di prove sufficienti per valutare definitivamente la veridicità di queste affermazioni”. Il colosso di Mountain View ha descritto la campagna email come “ad alto volume”, ma ha rifiutato di condividere ulteriori dettagli.
LA RIVENDICAZIONE DEL GRUPPO CLOP
Il gruppo, che afferma di essere affiliato a un’organizzazione criminale chiamata Cl0p, ha fornito alle vittime prove della compromissione, tra cui screenshot e pile di file.
“Abbiamo visto Cl0p chiedere ingenti riscatti a sette e otto cifre negli ultimi giorni”, ha affermato Cynthia Kaiser, vicepresidente del centro di ricerca sul ransomware di Halcyon. “Questo gruppo è noto per il furto di dati furtivo e di massa che aumenta la sua influenza nelle trattative per il riscatto”.
Come ricorda ancora Blooomberg, Cl0p è nota per aver preso di mira grandi aziende con malware sofisticati per bloccare i file e richiedere un riscatto per la loro eliminazione. Nel 2023, Cl0p è stata accusata di aver sfruttato le debolezze di MOVEit, un prodotto di trasferimento file utilizzato da aziende e organizzazioni per trasmettere dati sensibili, e ha affermato di aver ottenuto dati da centinaia di organizzazioni. Tra le vittime di quell’attacco figurano anche Shell Plc, British Airways di IAG SA e British Broadcasting Corp.
