Google alerta para campanha de extorsão Cl0p contra usuários do Oracle E-Business – Against Invaders – Notícias de CyberSecurity para humanos.

Google alerta para campanha de extorsão Cl0p contra usuários do Oracle E-Business - Against Invaders - Notícias de CyberSecurity para humanos.

Google alerta para campanha de extorsão Cl0p contra usuários do Oracle E-Business

O Google observou o grupo de ransomware Cl0p enviando e-mails de extorsão para executivos, alegando roubo de dados do Oracle E-Business Suite.

Pesquisadores do Google Mandiant e do Google Threat Intelligence Group (GTIG) estão rastreando um suspeito Cl0p ransomware atividade do grupo, onde os agentes de ameaças tentam extorquir executivos com alegações de roubo de dados do Oracle E-Business Suite.

“Um grupo de hackers alegou ter violado o E-Business Suite da Oracle, que executa operações principais, incluindo finanças, cadeia de suprimentos e gerenciamento de relacionamento com o cliente. Em um caso, eles exigiram um resgate de até US$ 50 milhões, de acordo com a empresa de segurança cibernética Halcyon, que atualmente está respondendo à campanha. O grupo, que afirma ser afiliado a uma organização criminosa chamada Cl0p, forneceu provas de comprometimento às vítimas, incluindo capturas de tela e árvores de arquivos. relatou Bloomberg.

“Pelo menos uma empresa confirmou que os dados de seus sistemas Oracle foram roubados, de acordo com uma das pessoas.”

Os invasores provavelmente invadiram e-mails de usuários e exploraram a redefinição de senha padrão do Oracle E-Business Suite para roubar credenciais válidas, informou a empresa de segurança cibernética Halycon.

“Vimos o Cl0p exigir enormes resgates de sete e oito dígitos nos últimos dias”, disse Cynthia Kaiser, vice-presidente do centro de pesquisa de ransomware da Halcyon. “Este grupo é notório pelo roubo furtivo de dados em massa que aumenta sua influência nas negociações de resgate.”

“Esta atividade começou em ou antes de 29 de setembro de 2025, mas os especialistas da Mandiant ainda estão nos estágios iniciais de várias investigações e ainda não comprovaram as alegações feitas por este grupo”, dito Genevieve Stark, Chefe de Análise de Inteligência de Operações de Informação e Crimes Cibernéticos da GTIG.

Stark disse que um e-mail nas notas de extorsão está vinculado a uma afiliada da Cl0p e inclui contatos do site Cl0p, mas o Google não tem provas para confirmar as alegações dos invasores.

O CTO da Mandiant, Charles Carmakal, disse que os invasores usam centenas de contas hackeadas em uma campanha de extorsão em massa. Pelo menos uma conta está vinculada ao grupo de hackers com motivação financeira FIN11.

“Atualmente, estamos observando uma campanha de e-mail de alto volume sendo lançada a partir de centenas de contas comprometidas e nossa análise inicial confirma que pelo menos uma dessas contas foi anteriormente associada à atividade do FIN11, um grupo de ameaças financeiramente motivado de longa data conhecido por implantar ransomware e se envolver em extorsão”, disse Carmakal.

Desde agosto de 2020, o FIN11 tem como alvo organizações em muitos setores, incluindo defesa, energia, finanças, saúde, jurídico, farmacêutico, telecomunicações, tecnologia e transporte. O grupo de extorsão foi observado implantando oClop ransomwarenas redes de suas vítimas.

Os pesquisadores acreditam que o FIN11 opera a partir da Comunidade de Estados Independentes (CEI – países da antiga União Soviética). Em 2020, os especialistas da Mandiant observaram metadados de arquivos em russo no código do malware e relataram que o ransomware Clop foi implantado apenas em máquinas com layout de teclado usado fora dos países da CEI.

Na época, pesquisadores da Mandiant da FireEye observaram hackers do FIN11 usando mensagens de spear-phishing para distribuir um downloader de malware apelidado de FRIENDSPEAK.

“Os e-mails maliciosos contêm informações de contato e verificamos que os dois endereços de contato específicos fornecidos também estão listados publicamente no site de vazamento de dados Cl0p (DLS)”, acrescentou Carmakal. “Esse movimento sugere fortemente que há alguma associação com a Cl0p, e eles estão aproveitando o reconhecimento da marca para sua operação atual.”

Halcyon, citando pessoas familiarizadas com o assunto, revelou acreditar que os agentes de ameaças exploraram uma vulnerabilidade no E-Business Suite da Oracle.

Os pesquisadores da Mandiant recomendam investigar seu ambiente em busca de indicadores de comprometimento associados à operação Cl0p.

Cl0p lançou grandes ataques nos últimos anos, explorando falhas de dia zero em softwares populares, como Aceleração, SolarWinds, Fortra GoAnywheree MOVER.

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPagAnini

(Assuntos de Segurança–hacking,ransomware)

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.