Вэлектронных письмах, отправленных клиентам Oracle членами группировки, занимающейся вымогательством вирусов Clop, утверждается, что киберпреступники заинтересованы исключительно в финансовой выплате, а вымогательство представляется как деловая сделка, а не политически мотивированная атака.
Письма с вымогательством были отправлены руководителям предполагаемых организаций-жертв в начале этой недели. Злоумышленники утверждали, что по запросу жертв они предоставят копии любых трех файлов или строк данных, чтобы подтвердить, что данные их организации были украдены.
«Но не волнуйтесь, — написали злоумышленники в вымогательском электронном письме, копия которого попала в руки CyberScoop в четверг. — Вы всегда можете сохранить свои данные для оплаты. Мы не стремимся к политической власти и не заинтересованы ни в каком бизнесе».
В письме присутствуют неграмотный английский и орфографические ошибки. Отправитель начинает сообщение, представляясь как «CL0P team» и призывая получателя поискать информацию о Clop в интернете, если он ещё не слышал об этой чрезвычайно активной группировке.
Письмо с вымогательством предназначено для достижения нескольких целей: запугать получателей, установить крайний срок для создания ощущения срочности, предоставить доказательства компрометации и предоставить контактную информацию для обсуждения суммы вымогательства.
«Мы всегда выполняем все обещания и обязательства», — говорилось в электронном письме. «Мы не заинтересованы в разрушении вашего бизнеса. Мы хотим получить деньги, и чтобы вы больше о нас не слышали».
Clop не опубликовала эти заявления на своём сайте, посвящённом утечкам. Исследователям ещё предстоит проверить, произошла ли утечка данных или за атаками стоит группа злоумышленников, однако контактная информация в электронных письмах ранее уже использовалась этой группой.
В четверг компания Oracle подтвердила, что ей известно о том, что некоторые клиенты Oracle E-Business Suite получали электронные письма с вымогательством.
«В ходе продолжающегося расследования мы обнаружили потенциальное использование ранее выявленных уязвимостей, которые устранены в критическом обновлении от июля 2025 года», — сообщил в своем блоге Роб Дюхарт, директор по безопасности Oracle Security .
Oracle не сообщила, какие именно уязвимости активно эксплуатируются, и не подтвердила, были ли украдены данные её клиентов. Июльское обновление безопасности включало 309 исправлений, в том числе девять, устраняющих дефекты в Oracle E-Business Suite.
В то время поставщик заявил, что три уязвимости Oracle E-Business Suite, все из которых были оценены как средние по уровню серьёзности, могут быть эксплуатированы удалённо без аутентификации. Ещё три уязвимости Oracle E-Business Suite, устраненные в июле, были оценены как высокие по уровню серьёзности.
Компания не отреагировала на многочисленные запросы о комментариях.
По словам исследователей, электронные письма были отправлены с сотен взломанных сторонних аккаунтов, начиная с понедельника или ранее.
«Взломанные аккаунты принадлежат разным, не связанным между собой организациям», — рассказал CyberScoop Остин Ларсен, главный аналитик Google Threat Intelligence Group. «Это распространённая тактика, при которой злоумышленники получают учётные данные легитимных аккаунтов, часто из журналов вредоносных программ для кражи информации, продаваемых на подпольных форумах, чтобы придать своим кампаниям дополнительный уровень легитимности и обойти спам-фильтры».
В электронном письме, полученном CyberScoop, отправитель утверждает, что тщательно изучил данные, которые он якобы украл, и предупреждает, «что предполагаемые финансовые потери, ущерб репутации и штрафы регулирующих органов, вероятно, существенно превысят заявленную сумму».
Подобная тактика применялась и ранее в ходе вымогательских атак, когда хакеры в качестве причины уплаты выкупа ссылались на сопутствующие последствия взлома, такие как правовые санкции.
Письмо с вымогательством заканчивается угрожающим призывом к действию, в котором утверждается, что время истекает, и данные будут опубликованы через несколько дней.
«Пожалуйста, передайте эту информацию вашему руководству и менеджерам как можно скорее», — написали злоумышленники в электронном письме. «Мы советуем не допускать точки невозврата».
Полный текст письма приведен ниже:
Уважаемый руководитель ,
Мы — команда CL0P. Если вы о нас ещё не слышали, поищите информацию о нас в интернете.
Недавно мы взломали ваше приложение Oracle E-Business Suite и скопировали множество документов. Все личные файлы и другая информация теперь хранятся в наших системах.
Но не волнуйтесь. Вы всегда можете сохранить свои данные для оплаты. Мы не стремимся к политической власти и не занимаемся бизнесом.
Итак, ваш единственный вариант защитить свою деловую репутацию — обсудить условия и выплатить заявленную сумму. В случае отказа вы потеряете все вышеперечисленные данные: часть из них будет продана чернокожим актёрам, другая — опубликована в нашем блоге и распространена на торрент-трекерах.
Мы всегда выполняем все обещания и обязательства.
Мы тщательно изучили полученные данные. К сожалению для вашей компании, анализ показывает, что предполагаемые финансовые потери, ущерб репутации и штрафы, налагаемые регулирующими органами, вероятно, существенно превысят заявленную сумму.
Ниже вы видите наши контактные адреса электронной почты:
[УДАЛЕНО]
[УДАЛЕНО]
В качестве доказательства мы можем показать любые 3 файла или строку данных, которые вы запросите.
Мы также готовы продолжить обсуждение дальнейших шагов после того, как вы подтвердите, что являетесь законным представителем компании.
Мы не заинтересованы в разрушении вашего бизнеса. Мы хотим получить деньги, и чтобы вы больше о нас не слышали.
Время идет, и если через несколько дней не будет оплаты, мы опубликуем и закроем чат.
Пожалуйста, как можно скорее передайте эту информацию вашим руководителям и менеджерам.
После успешной сделки и получения оплаты мы обещаем
1) технические консультации
2) Мы никогда не опубликуем ваши данные
3) Все, что мы скачаем, будет удалено с подтверждением.
4) Ничто никогда не раскроется
Примите решение как можно скорее и помните, что отсутствие ответа приводит к публикации в блоге. Имя — первое, а данные — второе. Мы советуем не допускать точки невозврата.
КР CL0P
Письма с вымогательством были отправлены руководителям предполагаемых организаций-жертв в начале этой недели. Злоумышленники утверждали, что по запросу жертв они предоставят копии любых трех файлов или строк данных, чтобы подтвердить, что данные их организации были украдены.
«Но не волнуйтесь, — написали злоумышленники в вымогательском электронном письме, копия которого попала в руки CyberScoop в четверг. — Вы всегда можете сохранить свои данные для оплаты. Мы не стремимся к политической власти и не заинтересованы ни в каком бизнесе».
В письме присутствуют неграмотный английский и орфографические ошибки. Отправитель начинает сообщение, представляясь как «CL0P team» и призывая получателя поискать информацию о Clop в интернете, если он ещё не слышал об этой чрезвычайно активной группировке.
Письмо с вымогательством предназначено для достижения нескольких целей: запугать получателей, установить крайний срок для создания ощущения срочности, предоставить доказательства компрометации и предоставить контактную информацию для обсуждения суммы вымогательства.
«Мы всегда выполняем все обещания и обязательства», — говорилось в электронном письме. «Мы не заинтересованы в разрушении вашего бизнеса. Мы хотим получить деньги, и чтобы вы больше о нас не слышали».
Clop не опубликовала эти заявления на своём сайте, посвящённом утечкам. Исследователям ещё предстоит проверить, произошла ли утечка данных или за атаками стоит группа злоумышленников, однако контактная информация в электронных письмах ранее уже использовалась этой группой.
В четверг компания Oracle подтвердила, что ей известно о том, что некоторые клиенты Oracle E-Business Suite получали электронные письма с вымогательством.
«В ходе продолжающегося расследования мы обнаружили потенциальное использование ранее выявленных уязвимостей, которые устранены в критическом обновлении от июля 2025 года», — сообщил в своем блоге Роб Дюхарт, директор по безопасности Oracle Security .
Oracle не сообщила, какие именно уязвимости активно эксплуатируются, и не подтвердила, были ли украдены данные её клиентов. Июльское обновление безопасности включало 309 исправлений, в том числе девять, устраняющих дефекты в Oracle E-Business Suite.
В то время поставщик заявил, что три уязвимости Oracle E-Business Suite, все из которых были оценены как средние по уровню серьёзности, могут быть эксплуатированы удалённо без аутентификации. Ещё три уязвимости Oracle E-Business Suite, устраненные в июле, были оценены как высокие по уровню серьёзности.
Компания не отреагировала на многочисленные запросы о комментариях.
По словам исследователей, электронные письма были отправлены с сотен взломанных сторонних аккаунтов, начиная с понедельника или ранее.
«Взломанные аккаунты принадлежат разным, не связанным между собой организациям», — рассказал CyberScoop Остин Ларсен, главный аналитик Google Threat Intelligence Group. «Это распространённая тактика, при которой злоумышленники получают учётные данные легитимных аккаунтов, часто из журналов вредоносных программ для кражи информации, продаваемых на подпольных форумах, чтобы придать своим кампаниям дополнительный уровень легитимности и обойти спам-фильтры».
В электронном письме, полученном CyberScoop, отправитель утверждает, что тщательно изучил данные, которые он якобы украл, и предупреждает, «что предполагаемые финансовые потери, ущерб репутации и штрафы регулирующих органов, вероятно, существенно превысят заявленную сумму».
Подобная тактика применялась и ранее в ходе вымогательских атак, когда хакеры в качестве причины уплаты выкупа ссылались на сопутствующие последствия взлома, такие как правовые санкции.
Письмо с вымогательством заканчивается угрожающим призывом к действию, в котором утверждается, что время истекает, и данные будут опубликованы через несколько дней.
«Пожалуйста, передайте эту информацию вашему руководству и менеджерам как можно скорее», — написали злоумышленники в электронном письме. «Мы советуем не допускать точки невозврата».
Полный текст письма приведен ниже:
Уважаемый руководитель ,
Мы — команда CL0P. Если вы о нас ещё не слышали, поищите информацию о нас в интернете.
Недавно мы взломали ваше приложение Oracle E-Business Suite и скопировали множество документов. Все личные файлы и другая информация теперь хранятся в наших системах.
Но не волнуйтесь. Вы всегда можете сохранить свои данные для оплаты. Мы не стремимся к политической власти и не занимаемся бизнесом.
Итак, ваш единственный вариант защитить свою деловую репутацию — обсудить условия и выплатить заявленную сумму. В случае отказа вы потеряете все вышеперечисленные данные: часть из них будет продана чернокожим актёрам, другая — опубликована в нашем блоге и распространена на торрент-трекерах.
Мы всегда выполняем все обещания и обязательства.
Мы тщательно изучили полученные данные. К сожалению для вашей компании, анализ показывает, что предполагаемые финансовые потери, ущерб репутации и штрафы, налагаемые регулирующими органами, вероятно, существенно превысят заявленную сумму.
Ниже вы видите наши контактные адреса электронной почты:
[УДАЛЕНО]
[УДАЛЕНО]
В качестве доказательства мы можем показать любые 3 файла или строку данных, которые вы запросите.
Мы также готовы продолжить обсуждение дальнейших шагов после того, как вы подтвердите, что являетесь законным представителем компании.
Мы не заинтересованы в разрушении вашего бизнеса. Мы хотим получить деньги, и чтобы вы больше о нас не слышали.
Время идет, и если через несколько дней не будет оплаты, мы опубликуем и закроем чат.
Пожалуйста, как можно скорее передайте эту информацию вашим руководителям и менеджерам.
После успешной сделки и получения оплаты мы обещаем
1) технические консультации
2) Мы никогда не опубликуем ваши данные
3) Все, что мы скачаем, будет удалено с подтверждением.
4) Ничто никогда не раскроется
Примите решение как можно скорее и помните, что отсутствие ответа приводит к публикации в блоге. Имя — первое, а данные — второе. Мы советуем не допускать точки невозврата.
КР CL0P
