A Mandiant, empresa de cibersegurança da Google, revelou estar investigando uma campanha de extorsão que tem como alvo usuários do Oracle E-Business Suite. Executivos de empresas em diversos países estão recebendo e-mails que alegam o roubo de dados sensíveis, com ameaças de divulgação caso não seja feito um pagamento. Até o momento, não há confirmação de que os criminosos tenham realmente obtido informações das vítimas.
No entanto, a forma como as mensagens foram enviadas e os contatos fornecidos levantam suspeitas de ligação com o grupo Cl0p, conhecido mundialmente por ataques de ransomware e extorsão digital. Segundo a Mandiant, os e-mails foram disparados a partir de centenas de contas comprometidas, algumas delas já associadas ao FIN11, um subgrupo vinculado ao coletivo TA505. Esses grupos já estiveram por trás de grandes campanhas de sequestro de dados, explorando vulnerabilidades em softwares amplamente usados por empresas e governos.
Os investigadores acreditam que os criminosos possam ter explorado a função de redefinição de senha padrão em portais do Oracle E-Business Suite expostos na internet. Esse tipo de falha permitiria o uso de credenciais válidas para assumir contas e disparar comunicações fraudulentas contra executivos de alto escalão. O Cl0p tem um histórico de ataques de grande repercussão, explorando vulnerabilidades em sistemas como Accellion FTA, SolarWinds Serv-U FTP, GoAnywhere MFT e, mais recentemente, o Progress MOVEit Transfer. Essas campanhas impactaram milhares de empresas globalmente, causando interrupções de serviços e perdas financeiras significativas.
