По словам исследователей, общавшихся с CyberScoop, злоумышленники, предположительно связанные с группировкой вируса-вымогателя Clop, отправляли электронные письма клиентам Oracle с требованием вымогательства, утверждая, что они украли данные из E-Business Suite технологического гиганта.
Исследователи не подтвердили достоверность заявлений Клопа о краже данных, но ведутся многочисленные расследования в отношении сред Oracle, принадлежащих организациям, получившим электронные письма.
«В настоящее время мы наблюдаем масштабную email-кампанию, запущенную с сотен взломанных аккаунтов», — сообщил CyberScoop технический директор Mandiant Consulting Чарльз Кармакал. «Вредоносные письма содержат контактную информацию, и мы подтвердили, что два указанных адреса также публично указаны на сайте утечки данных Clop», — добавил он.
Компания Clop не обнародовала эти заявления на своих сайтах утечек.
В четверг компания Oracle подтвердила, что ей известно о том, что некоторые клиенты Oracle E-Business Suite получали электронные письма с вымогательством.
«В ходе продолжающегося расследования мы обнаружили потенциальное использование ранее выявленных уязвимостей, которые устранены в критическом обновлении от июля 2025 года», — сообщил в своем блоге Роб Дюхарт, директор по безопасности Oracle Security .
Oracle не сообщила, какие именно уязвимости активно эксплуатируются, и не подтвердила, были ли украдены данные её клиентов. Июльское обновление безопасности включало 309 исправлений, в том числе девять, устраняющих дефекты в Oracle E-Business Suite.
В то время поставщик заявил, что три уязвимости Oracle E-Business Suite, все из которых были оценены как средние по уровню серьёзности, могут быть эксплуатированы удалённо без аутентификации. Ещё три уязвимости Oracle E-Business Suite, устраненные в июле, были оценены как высокие по уровню серьёзности.
Компания не отреагировала на многочисленные запросы о комментариях.
По словам Женевьевы Старк, руководителя отдела анализа киберпреступности и информационных операций в Google Threat Intelligence Group, вымогательство включает в себя целевые электронные письма, отправляемые руководителям компаний с сотен взломанных сторонних аккаунтов, начиная с 29 сентября включительно.
«Пока неясно, заслуживают ли доверия заявления злоумышленников, и если да, то как они получили доступ», — сказал Старк CyberScoop.
Хотя тактика и контактные адреса электронной почты совпадают с Клопом, исследователям еще предстоит проверить, стоит ли за атаками финансово мотивированная группа.
Clop — очень плодовитая и печально известная группа вирусов-вымогателей, которая успешно проникла в системы многих поставщиков технологий, что позволило ей украсть данные у многих клиентов.
Финансово мотивированная группа злоумышленников специализируется на эксплуатации уязвимостей в сервисах передачи файлов для проведения масштабных атак. В 2023 году Clop добился массового проникновения в среды MOVEit , в результате чего были раскрыты данные более 2300 организаций, что сделало эту кибератаку самой крупной и значимой в том году.
По словам Остина Ларсена, главного аналитика GTIG, письма с вымогательством отправляются с сотен взломанных учётных записей третьих лиц на различных легитимных сайтах, а не от одного конкретного поставщика. «В этих письмах утверждается, что они украли данные из Oracle E-Business Suite атакуемых организаций», — добавил он.
Письма, обнаруженные исследователями, не содержат конкретных требований, но оказывают давление на жертв, побуждая их связаться с группой угроз, чтобы начать переговоры.
«Основными признаками этой новой кампании являются сами вымогательские письма и использование адресов электронной почты, связанных с сайтом утечки данных Clop», — сказал Старк. «На данный момент у нас нет доказательств успешной утечки данных или конкретного семейства вредоносных программ, связанных с этой конкретной кампанией».
Следователи работают всю ночь, чтобы установить, получили ли злоумышленники доступ к Oracle E-Business Suite и каким образом, а также в какой степени это может затронуть клиентов Oracle.
Исследователи не подтвердили достоверность заявлений Клопа о краже данных, но ведутся многочисленные расследования в отношении сред Oracle, принадлежащих организациям, получившим электронные письма.
«В настоящее время мы наблюдаем масштабную email-кампанию, запущенную с сотен взломанных аккаунтов», — сообщил CyberScoop технический директор Mandiant Consulting Чарльз Кармакал. «Вредоносные письма содержат контактную информацию, и мы подтвердили, что два указанных адреса также публично указаны на сайте утечки данных Clop», — добавил он.
Компания Clop не обнародовала эти заявления на своих сайтах утечек.
В четверг компания Oracle подтвердила, что ей известно о том, что некоторые клиенты Oracle E-Business Suite получали электронные письма с вымогательством.
«В ходе продолжающегося расследования мы обнаружили потенциальное использование ранее выявленных уязвимостей, которые устранены в критическом обновлении от июля 2025 года», — сообщил в своем блоге Роб Дюхарт, директор по безопасности Oracle Security .
Oracle не сообщила, какие именно уязвимости активно эксплуатируются, и не подтвердила, были ли украдены данные её клиентов. Июльское обновление безопасности включало 309 исправлений, в том числе девять, устраняющих дефекты в Oracle E-Business Suite.
В то время поставщик заявил, что три уязвимости Oracle E-Business Suite, все из которых были оценены как средние по уровню серьёзности, могут быть эксплуатированы удалённо без аутентификации. Ещё три уязвимости Oracle E-Business Suite, устраненные в июле, были оценены как высокие по уровню серьёзности.
Компания не отреагировала на многочисленные запросы о комментариях.
По словам Женевьевы Старк, руководителя отдела анализа киберпреступности и информационных операций в Google Threat Intelligence Group, вымогательство включает в себя целевые электронные письма, отправляемые руководителям компаний с сотен взломанных сторонних аккаунтов, начиная с 29 сентября включительно.
«Пока неясно, заслуживают ли доверия заявления злоумышленников, и если да, то как они получили доступ», — сказал Старк CyberScoop.
Хотя тактика и контактные адреса электронной почты совпадают с Клопом, исследователям еще предстоит проверить, стоит ли за атаками финансово мотивированная группа.
Clop — очень плодовитая и печально известная группа вирусов-вымогателей, которая успешно проникла в системы многих поставщиков технологий, что позволило ей украсть данные у многих клиентов.
Финансово мотивированная группа злоумышленников специализируется на эксплуатации уязвимостей в сервисах передачи файлов для проведения масштабных атак. В 2023 году Clop добился массового проникновения в среды MOVEit , в результате чего были раскрыты данные более 2300 организаций, что сделало эту кибератаку самой крупной и значимой в том году.
По словам Остина Ларсена, главного аналитика GTIG, письма с вымогательством отправляются с сотен взломанных учётных записей третьих лиц на различных легитимных сайтах, а не от одного конкретного поставщика. «В этих письмах утверждается, что они украли данные из Oracle E-Business Suite атакуемых организаций», — добавил он.
Письма, обнаруженные исследователями, не содержат конкретных требований, но оказывают давление на жертв, побуждая их связаться с группой угроз, чтобы начать переговоры.
«Основными признаками этой новой кампании являются сами вымогательские письма и использование адресов электронной почты, связанных с сайтом утечки данных Clop», — сказал Старк. «На данный момент у нас нет доказательств успешной утечки данных или конкретного семейства вредоносных программ, связанных с этой конкретной кампанией».
Следователи работают всю ночь, чтобы установить, получили ли злоумышленники доступ к Oracle E-Business Suite и каким образом, а также в какой степени это может затронуть клиентов Oracle.
