Când discutăm despre vulnerabilități vechi care reapar în titlurile de presă, e dificil să nu ne gândim la faptul că software-ul folosit de marile companii rămâne uneori țintă chiar și după aplicarea patch-urilor. Acest articol descrie o campanie de extorcare îndreptată împotriva clienților Oracle E-Business Suite și posibila legătură cu corecțiile de securitate publicate în iulie 2025.
Oracle a confirmat că anumiți clienți E-Business Suite au primit mesaje de extorcare atribuite grupului CL0P. Rob Duhart, Chief Security Officer la Oracle, a declarat că investigațiile sugerează o posibilă exploatare a unor vulnerabilități remediate în pachetul critic din iulie 2025 și a reiterat recomandarea ca toți utilizatorii să instaleze ultimele patch-uri. Totuși, Oracle nu a precizat o vulnerabilitate anume folosită de atacatori. În acel set de corecții au fost rezolvate nouă probleme de securitate pentru E-Business Suite, dintre care trei (CVE-2025-30745, CVE-2025-30746 și CVE-2025-50107) pot fi exploatate de la distanță fără autentificare.
Analize externe au fost furnizate de Mandiant și Google Threat Intelligence Group, care au spus jurnaliștilor că directori și responsabili din diverse companii au primit e-mailuri prin care li se cerea o sumă pentru a nu fi publicate presupuse date sensibile scoase din sistemele Oracle E-Business Suite. Genevieve Stark, șefa unității pentru combaterea criminalității cibernetice la GTIG, a menționat că atacatorii au început să trimită aceste mesaje cel târziu la 29 septembrie 2025 și că analiza activității este în desfășurare.
Mesajele de extorcare analizate au o abordare directă: grupul se identifică ca CL0P și susține că a pătruns într-o aplicație Oracle E-Business Suite și a copiat documente, amenințând cu publicarea lor. Specialiștii nu au ajuns însă la un consens privind existența dovezilor că datele au fost, într-adevăr, exfiltrate. Mandiant a afirmat că probele disponibile la acel moment nu erau suficiente pentru a confirma furtul de date, în timp ce CL0P și-a revendicat responsabilitatea și a legat campania de o eroare dintr-un produs Oracle, susținând că nu distruge sisteme, ci solicită plată pentru „protecția” oferită.
Istoricul grupului CL0P arată că nu este prima lor operațiune importantă: în ianuarie au fost raportate zeci de victime într-un val amplu de furt de date care a profitat de un zero-day în software-ul de transfer securizat Cleo (CVE-2024-50623). Anterior, grupul a exploatat zero-day-uri în Accellion FTA, GoAnywhere MFT și MOVEit Transfer; atacurile pe MOVEit au afectat peste 2.770 de organizații la nivel mondial. Aceste cazuri scot în evidență un tipar: când apar vulnerabilități critice în produse folosite pe scară largă, impactul poate fi rapid și extins.
Contextul politic și juridic se complică: Departamentul de Stat al SUA oferă acum o recompensă de 10 milioane de dolari pentru informații care leagă atacurile CL0P de vreo guvernare străină. În esență, autoritățile acordă atenție sporită, iar investigațiile internaționale sunt în curs pentru a stabili originea și eventualele conexiuni externe ale grupului.
Recomandarea constantă din sursele oficiale rămâne simplă și practică: instalați patch-urile. Actualizările critice din iulie 2025 corectează vulnerabilități serioase din E-Business Suite, iar neglijarea lor menține sistemele vulnerabile. De asemenea, organizațiile afectate sau cele care au întrebări sunt încurajate să contacteze echipa de suport Oracle pentru asistență specializată.
CL0P a folosit anterior diverse breșe de securitate pentru a pretinde că deține date sensibile, iar consecințele pentru victime au fost reale: notificări, investigații și costuri operaționale. Exemple concrete din istoria lor includ CVE-2024-50623 pentru Cleo și cele trei CVE din iulie 2025 pentru Oracle E-Business Suite: CVE-2025-30745, CVE-2025-30746 și CVE-2025-50107. Totodată, MOVEit a afectat peste 2.770 de organizații, ilustrând amploarea pe care o poate lua un incident atunci când vizează tehnologie utilizată global.
CL0P susține că nu urmărește distrugerea sistemelor, ci vinde „servicii” de protecție plătite, o retorică menită să sugereze o logică a „protecției contra plată”, însă actorii rămân infractori care cer recompense pentru a nu divulga date. Analizele publice ale incidentelor precedente indică faptul că grupurile care exploatează zero-day-uri sau vulnerabilități neraplicate pot provoca daune serioase, forțând companii din multiple sectoare să răspundă rapid. Investigațiile continuă, iar specialiștii în securitate cibernetică monitorizează activitățile similare pentru a identifica legături și tehnici de atac.
Detalii despre e-mailurile expediate, declarațiile firmelor de securitate și fragmente din mesajele CL0P au apărut în rapoarte și articole de presă, inclusiv pe site-uri de specialitate. Dacă utilizați E-Business Suite, verificarea și aplicarea patch-urilor menționate rămâne cea mai eficientă măsură practică. Pentru cei interesați de nivelul amenințării, recompensa de 10 milioane de dolari oferită de Departamentul de Stat al SUA pentru informații care leagă CL0P de un stat străin indică faptul că dosarul este urmărit și la nivel diplomatic.
Mandiant, Google Threat Intelligence Group și Oracle oferă informații utile pentru organizații: cronologia evenimentelor, CVE-urile implicate și recomandările de remediere ajută la înțelegerea modului în care astfel de atacuri se desfășoară. Exemple menționate în text: CVE-2025-30745, CVE-2025-30746, CVE-2025-50107, CVE-2024-50623, numărul de 2.770 de organizații afectate de MOVEit și recompensa de 10 milioane USD anunțată de Departamentul de Stat. Următorii pași includ monitorizarea continuă a activității CL0P și a eventualelor exploatări similare; aplicarea patch-urilor rămâne esențială pentru prevenire. Organizația ta are procesul de actualizare și procedurile de răspuns la incidente suficient de bine puse la punct pentru a face față unui asemenea val de extorcare?
Fii primul care comentează