Código HTML do Conteúdo

Post: Google alerta para campanha de extorsão Cl0p contra usuários do Oracle E-Business - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <h2>Google alerta para campanha de extors&atilde;o Cl0p contra usu&aacute;rios do Oracle E-Business</h2> <h2>O Google observou o grupo de ransomware Cl0p enviando e-mails de extors&atilde;o para executivos, alegando roubo de dados do Oracle E-Business Suite.</h2> <p>Pesquisadores do Google Mandiant e do Google Threat Intelligence Group (GTIG) est&atilde;o rastreando um suspeito <a href="https://securityaffairs.com/tag/cl0p-ransomware" target="_blank">Cl0p ransomware</a> atividade do grupo, onde os agentes de amea&ccedil;as tentam extorquir executivos com alega&ccedil;&otilde;es de roubo de dados do Oracle E-Business Suite.</p> <p><em>&ldquo;Um grupo de hackers alegou ter violado o E-Business Suite da Oracle, que executa opera&ccedil;&otilde;es principais, incluindo finan&ccedil;as, cadeia de suprimentos e gerenciamento de relacionamento com o cliente. Em um caso, eles exigiram um resgate de at&eacute; US$ 50 milh&otilde;es, de acordo com a empresa de seguran&ccedil;a cibern&eacute;tica Halcyon, que atualmente est&aacute; respondendo &agrave; campanha. O grupo, que afirma ser afiliado a uma organiza&ccedil;&atilde;o criminosa chamada Cl0p, forneceu provas de comprometimento &agrave;s v&iacute;timas, incluindo capturas de tela e &aacute;rvores de arquivos. <a href="https://www.bloomberg.com/news/articles/2025-10-02/cyber-group-extorting-executives-with-claims-of-stolen-data?accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb3VyY2UiOiJTdWJzY3JpYmVyR2lmdGVkQXJ0aWNsZSIsImlhdCI6MTc1OTM3MDE3MSwiZXhwIjoxNzU5OTc0OTcxLCJhcnRpY2xlSWQiOiJUM0hBTVdHUDQ5MzcwMCIsImJjb25uZWN0SWQiOiI0OEFDOEE5MkEwNTM0MkQ4OEIyRjkwQjhDMTgzMTdDMyJ9.LOKopZ2peROZG2PNmFKOb8jZSyJQsRekzlBZEEFWfq4&amp;embedded-checkout=true&amp;leadSource=uverify%20wall" target="_blank">relatou Bloomberg</a>. </em></p> <p><em>&ldquo;Pelo menos uma empresa confirmou que os dados de seus sistemas Oracle foram roubados, de acordo com uma das pessoas.&rdquo;</em></p> <p>Os invasores provavelmente invadiram e-mails de usu&aacute;rios e exploraram a redefini&ccedil;&atilde;o de senha padr&atilde;o do Oracle E-Business Suite para roubar credenciais v&aacute;lidas, informou a empresa de seguran&ccedil;a cibern&eacute;tica Halycon.</p> <p><em>&ldquo;Vimos o Cl0p exigir enormes resgates de sete e oito d&iacute;gitos nos &uacute;ltimos dias&rdquo;, disse Cynthia Kaiser, vice-presidente do centro de pesquisa de ransomware da Halcyon. &ldquo;Este grupo &eacute; not&oacute;rio pelo roubo furtivo de dados em massa que aumenta sua influ&ecirc;ncia nas negocia&ccedil;&otilde;es de resgate.&rdquo;</em></p> <p><em>&ldquo;Esta atividade come&ccedil;ou em ou antes de 29 de setembro de 2025, mas os especialistas da Mandiant ainda est&atilde;o nos est&aacute;gios iniciais de v&aacute;rias investiga&ccedil;&otilde;es e ainda n&atilde;o comprovaram as alega&ccedil;&otilde;es feitas por este grupo&rdquo;, <a href="https://thehackernews.com/2025/10/google-mandiant-probes-new-oracle.html" target="_blank">dito</a> Genevieve Stark, Chefe de An&aacute;lise de Intelig&ecirc;ncia de Opera&ccedil;&otilde;es de Informa&ccedil;&atilde;o e Crimes Cibern&eacute;ticos da GTIG.</em></p> <p>Stark disse que um e-mail nas notas de extors&atilde;o est&aacute; vinculado a uma afiliada da Cl0p e inclui contatos do site Cl0p, mas o Google n&atilde;o tem provas para confirmar as alega&ccedil;&otilde;es dos invasores.<a href="https://thehackernews.uk/cloud-insight-d" rel="noreferrer noopener" target="_blank"></a></p> <p>O CTO da Mandiant, Charles Carmakal, disse que os invasores usam centenas de contas hackeadas em uma campanha de extors&atilde;o em massa. Pelo menos uma conta est&aacute; vinculada ao grupo de hackers com motiva&ccedil;&atilde;o financeira <a href="https://securityaffairs.com/109681/cyber-crime/fin11-clop-ransomware.html" target="_blank">FIN11</a>.</p> <p><em>&ldquo;Atualmente, estamos observando uma campanha de e-mail de alto volume sendo lan&ccedil;ada a partir de centenas de contas comprometidas e nossa an&aacute;lise inicial confirma que pelo menos uma dessas contas foi anteriormente associada &agrave; atividade do FIN11, um grupo de amea&ccedil;as financeiramente motivado de longa data conhecido por implantar ransomware e se envolver em extors&atilde;o&rdquo;, disse Carmakal.</em></p> <p>Desde agosto de 2020, o FIN11 tem como alvo organiza&ccedil;&otilde;es em muitos setores, incluindo defesa, energia, finan&ccedil;as, sa&uacute;de, jur&iacute;dico, farmac&ecirc;utico, telecomunica&ccedil;&otilde;es, tecnologia e transporte. O grupo de extors&atilde;o foi observado implantando o<a href="https://securityaffairs.co/wordpress/105108/data-breach/clop-ransomware-indiabulls-group.html" target="_blank">Clop ransomware</a>nas redes de suas v&iacute;timas.</p> <p>Os pesquisadores acreditam que o FIN11 opera a partir da Comunidade de Estados Independentes (CEI &ndash; pa&iacute;ses da antiga Uni&atilde;o Sovi&eacute;tica). Em 2020, os especialistas da Mandiant observaram metadados de arquivos em russo no c&oacute;digo do malware e relataram que o ransomware Clop foi implantado apenas em m&aacute;quinas com layout de teclado usado fora dos pa&iacute;ses da CEI.</p> <p>Na &eacute;poca, pesquisadores da Mandiant da FireEye observaram hackers do FIN11 usando mensagens de spear-phishing para distribuir um downloader de malware apelidado de FRIENDSPEAK.</p> <p><em>&ldquo;Os e-mails maliciosos cont&ecirc;m informa&ccedil;&otilde;es de contato e verificamos que os dois endere&ccedil;os de contato espec&iacute;ficos fornecidos tamb&eacute;m est&atilde;o listados publicamente no site de vazamento de dados Cl0p (DLS)&rdquo;, acrescentou Carmakal. &ldquo;Esse movimento sugere fortemente que h&aacute; alguma associa&ccedil;&atilde;o com a Cl0p, e eles est&atilde;o aproveitando o reconhecimento da marca para sua opera&ccedil;&atilde;o atual.&rdquo;</em></p> <p>Halcyon, citando pessoas familiarizadas com o assunto, revelou acreditar que os agentes de amea&ccedil;as exploraram uma vulnerabilidade no E-Business Suite da Oracle.</p> <p>Os pesquisadores da Mandiant recomendam investigar seu ambiente em busca de indicadores de comprometimento associados &agrave; opera&ccedil;&atilde;o Cl0p.</p> <p>Cl0p lan&ccedil;ou grandes ataques nos &uacute;ltimos anos, explorando falhas de dia zero em softwares populares, como <a href="https://securityaffairs.com/116325/uncategorized/clop-ransomware-us-universities.html" target="_blank">Acelera&ccedil;&atilde;o</a>, SolarWinds, <a href="https://securityaffairs.com/157993/hacking/fortra-goanywhere-mft-critical-flaw.html" target="_blank">Fortra GoAnywhere</a>e <a href="https://securityaffairs.com/wp-content/uploads/2023/06/image-17.png" target="_blank">MOVER</a>.</p> <p>Siga-me no Twitter:<a href="https://twitter.com/securityaffairs" target="_blank">@securityaffairs</a>e<a href="https://www.facebook.com/sec.affairs" target="_blank">Linkedin</a>e<a href="https://infosec.exchange/@securityaffairs" target="_blank">Mastodonte</a></p> <p><a href="http://www.linkedin.com/pub/pierluigi-paganini/b/742/559" target="_blank">PierluigiPagAnini</a></p> <p>(<a href="http://securityaffairs.co/wordpress/" target="_blank">Assuntos de Seguran&ccedil;a</a>&ndash;hacking,ransomware)</p> <hr> <hr> </div></div>