Cyberprzestępcy ujawnili 29 organizacji, które rzekomo ucierpiały w wyniku niedawnych działań wymierzonych w klientów rozwiązań do planowania zasobów przedsiębiorstwa Oracle E-Business Suite (EBS). O samej kampanii szeroko pisaliśmy tutaj.
W skrócie – akcja, która pod koniec września obejmowała wysyłanie e-maili z żądaniem okupu do kadry kierowniczej kilkudziesięciu organizacji, prawdopodobnie została przeprowadzona przez grupę cyberprzestępców określaną jako FIN11.
Działania te przypisała sobie grupa ransomware Cl0p. Jej członkowie byli wcześniej powiązani przez społeczność cyberbezpieczeństwa z FIN11, a decyzja o wykorzystaniu portalu grupy jako podmiotu upubliczniającego wykradzione dane była prawdopodobnie motywowana jego wcześniejszym użyciem w podobnych, skutecznych kampaniach wymierzonych w klientów produktów do transferu plików Cleo, MOVEit i Fortra.
Do tej pory na stronie internetowej wycieku Cl0p wymieniono dwadzieścia dziewięć domniemanych ofiar ataku na Oracle EBS. Organizacje, które zostały oznaczone jako pierwsze, takie jak Uniwersytet Harvarda, południowoafrykański Uniwersytet Wits i spółka zależna American Airlines Envoy Air, potwierdziły, iż padły ofiarą hakerów niedługo po tym, jak ich nazwy pojawiły się na stronie.
Czy rzeczywiście w ataku ucierpiało tak wiele firm? Nie wszystkie organizacje wymieniane przez cyberprzestępców przyznają się do wycieku i/lub jego podawanego publicznie zakresu. O takim przypadku, dotyczącym działającego również w Polsce Atosa, pisaliśmy tutaj.
W zeszłym tygodniu „The Washington Post” potwierdził, iż padł ofiarą ataku, ale nie podał żadnych szczegółów – zawiadomiła o tym agencja Reuters. Większość pozostałych domniemanych ofiar nie odniosła się jednak do informacji, jakoby bezpieczeństwo ich danych zostało naruszone.
SecurityWeek zwrócił się z prośbą o komentarz do kilku ważnych organizacji z listy, ale żadna nie odpowiedziała. Były wśród nich giganty przemysłowe Schneider Electric i Emerson, gigant elektroniki użytkowej Logitech, gigant telekomunikacyjny i motoryzacyjny Cox Enterprises, producent srebra i złota Pan American Silver, firma produkująca części samochodowe LKQ Corporation oraz firma HVAC Copeland.
Inne domniemane ofiary to firmy z sektora górnictwa, usług profesjonalnych, gospodarki wodno-ściekowej, budownictwa, ubezpieczeń, finansów, produkcji, transportu, technologii, motoryzacji, energetyki i HVAC.
Organizacje dotknięte atakiem hakerskim na Oracle EBS być może prowadzą dochodzenia, a niektóre z nich najpewniej nie chcą udostępniać żadnych informacji do czasu zakończenia śledztwa. Inne, jak pokazały poprzednie ataki Cl0p, prawdopodobnie starają się uniknąć rozgłosu, milcząc.
Cyberprzestępcy ujawnili dane skradzione rzekomo 18 ofiarom, w niektórych przypadkach upubliczniając setki gigabajtów, a choćby kilka terabajtów plików.
Analizy strukturalne niektórych z udostępnionych plików doprowadziły badaczy do wniosku, iż dane prawdopodobnie pochodziły ze środowiska Oracle.
Biorąc pod uwagę historię Cl0p, jest mało prawdopodobne, aby organizacje zostały przywołane bezpodstawnie. Nierzadko jednak cyberprzestępcy celowo wskazują spółki-matki jako ofiary, podczas gdy rzeczywisty wpływ ogranicza się do mniejszej spółki zależnej (jak w przypadku American Airlines, które zostały wymienione w kontekście ataku na Envoy Air). Możliwe jest również, iż w niektórych przypadkach hakerzy wyolbrzymili wartość i wrażliwość skradzionych danych.
Najbardziej niepokojące w całej sprawie jest to, iż pozostaje jasne, które dokładnie luki w zabezpieczeniach Oracle EBS zostały wykorzystane w kampanii. Najbardziej prawdopodobnymi kandydatami są CVE-2025-61882 i CVE-2025-61884, które można wykorzystać zdalnie, aby uzyskać dostęp do poufnych danych bez uwierzytelniania ani interakcji z użytkownikiem. W przypadku CVE-2025-61882 wydaje się, iż wykorzystanie luki jako dnia zerowego mogło rozpocząć się co najmniej dwa miesiące przed wydaniem poprawek.
