Google wydało ostrzeżenie dotyczące nasilającej się kampanii masowych wiadomości e-mail o charakterze wymuszeniowym, skierowanych do kadry zarządzającej w organizacjach korzystających z pakietu Oracle E-Business Suite. Atak, który według badaczy nosi znamiona działań grupy Clop, ma na celu wyłudzenie okupu pod pretekstem rzekomej kradzieży poufnych danych. Jest to istotny sygnał, iż cyberprzestępcy coraz agresywniej koncentrują się na systemach klasy ERP i bezpośredniej presji na decydentów biznesowych.
Zgodnie z informacjami przekazanymi przez Google Threat Intelligence Group (GTIG), kampania rozpoczęła się około 29 września i charakteryzuje się wysyłką dużej liczby wiadomości e-mail do dyrektorów i menedżerów w różnych przedsiębiorstwach. E-maile te, wysyłane z setek skompromitowanych kont stron trzecich, zawierają twierdzenia o rzekomym wykradzeniu wrażliwych informacji z modułów Oracle E-Business Suite należących do docelowych organizacji. Choć treść wiadomości nie zawiera konkretnej kwoty okupu, wywiera presję na adresatów, zachęcając ich do podjęcia negocjacji.
Działania te są szczególnie niepokojące, ponieważ wykazują zbieżność taktyk i wykorzystywanych adresów kontaktowych z notoryczną grupą ransomware Clop, znaną z przeprowadzania masowych eksploitacji luk w oprogramowaniu do transferu plików, jak miało to miejsce w przypadku ataku na MOVEit w 2023 roku. Należy jednak podkreślić, iż Google nie posiada w tej chwili wystarczających dowodów, aby jednoznacznie ocenić wiarygodność tych roszczeń. Nie jest jasne, czy faktycznie doszło do udanego naruszenia bezpieczeństwa i kradzieży danych z systemów Oracle E-Business Suite, czy też jest to wyłącznie próba blefu i zastraszenia firm.
Austin Larsen, główny analityk w GTIG, wskazał, iż e-maile te są wysyłane z kont pochodzących z różnych legalnych witryn, co utrudnia identyfikację i blokowanie źródła. Genevieve Stark, szefowa działu analiz cyberprzestępczości w GTIG, podkreśliła, iż kluczowym wskaźnikiem nowej kampanii są same e-maile wymuszające oraz użycie adresów e-mail powiązanych ze stronami wycieków danych grupy Clop. Firmy zajmujące się cyberbezpieczeństwem, w tym Mandiant, potwierdzają obserwację wzmożonej aktywności tego typu i prowadzą dochodzenia w środowiskach Oracle u organizacji, które otrzymały groźby. Eksperci ds. bezpieczeństwa ostrzegają, iż choćby nieuzasadnione groźby mogą stanowić poważne ryzyko finansowe i reputacyjne dla celów biznesowych.
