Google Mandiant investiga nova onda de extorsão mirando clientes Oracle, com fortes suspeitas de vínculo com grupo hacker Cl0p

O Google Mandiant e o Google Threat Intelligence Group (GTIG) revelaram que estão monitorando uma nova e preocupante onda de atividades cibernéticas que possivelmente está ligada ao conhecido grupo hacker com motivação financeira Cl0p. A campanha em questão envolve o envio de e-mails de extorsão para executivos de diversas organizações, com a alegação de que dados confidenciais do Oracle E-Business Suite foram roubados.

"Essa atividade começou em ou antes de 29 de setembro de 2025, mas os especialistas da Mandiant ainda estão nos estágios iniciais de várias investigações e ainda não comprovaram as alegações feitas por esse grupo", disse Genevieve Stark, chefe de análise de inteligência de operações de informação e crimes cibernéticos da GTIG, em comunicado ao The Hacker News. Stark acrescentou que a segmentação é oportunista, sem focar em setores específicos, um modus operandi consistente com atividades anteriores associadas ao site de vazamento de dados do Cl0p.

Charles Carmakal, CTO da Mandiant, descreveu a atividade em andamento como uma "campanha de e-mail de alto volume" lançada a partir de centenas de contas comprometidas. Há evidências que sugerem que pelo menos uma dessas contas já havia sido associada à atividade do FIN11, um subconjunto dentro do grupo hacker TA505. Segundo a Mandiant, o FIN11 tem se envolvido em ataques de ransomware e extorsão desde 2020, e esteve anteriormente vinculado à distribuição de várias famílias de malware, como FlawedAmmyy, FRIENDSPEAK e MIXLABEL.

A conexão com o Cl0p se intensifica com a descoberta de que os e-mails de extorsão contêm informações de contato (endereços) que também estão listadas publicamente no site de vazamento de dados (DLS) do próprio Cl0p. Carmakal enfatizou: "Essa ação sugere fortemente que há alguma associação com o Cl0p, e eles estão se aproveitando do reconhecimento da marca para sua operação atual."

Apesar das semelhanças táticas e do uso da "marca" Cl0p, o Google afirmou não possuir evidências próprias que confirmem esses vínculos. A empresa está, no entanto, instando as organizações a investigarem seus próprios ambientes em busca de sinais de atividades de invasores.

Atualmente, não está totalmente claro como o acesso inicial à Oracle E-Business Suite é obtido. No entanto, informações divulgadas pela Bloomberg, citando dados da Halcyon, sugerem que os invasores podem ter comprometido e-mails de usuários. A partir daí, teriam utilizado a função padrão de redefinição de senha para obter credenciais válidas de portais do Oracle E-Business Suite voltados para a internet.

Em resposta, a Oracle informou que está "ciente de que alguns clientes do Oracle E-Business Suite (EBS) receberam e-mails de extorsão" e que sua investigação em andamento aponta para o "uso potencial de vulnerabilidades identificadas anteriormente que são abordadas na Atualização Crítica de Patch de julho de 2025".

Rob Duhart, diretor de segurança da Oracle Corporation, recomendou veementemente que os clientes apliquem a atualização crítica mais recente para se protegerem contra a ameaça. Contudo, a empresa não especificou publicamente quais vulnerabilidades estão sendo exploradas ativamente nesta nova campanha.

Nos últimos anos, o altamente prolífico grupo hacker Cl0p se tornou notório por uma série de ondas de ataques, explorando falhas de "dia zero" em plataformas amplamente utilizadas como Accellion FTA, SolarWinds Serv-U FTP, Fortra GoAnywhere MFT e Progress MOVEit Transfer, conseguindo comprometer com sucesso milhares de organizações em escala internacional.

Via - THN