Een beruchte ransomwaregroep claimt toegang te hebben gekregen tot Oracle’s E-Business Suite en gebruikt gestolen data om bestuurders en IT-afdelingen van grote organisaties te chanteren. Volgens cybersecuritybedrijf Halcyon, dat bedrijven bijstaat in de huidige campagne, gaat het in sommige gevallen om losgeldeisen tot wel 50 miljoen dollar.
De E-Business Suite van Oracle ondersteunt cruciale bedrijfsprocessen zoals financiën, supply chain en klantbeheer. Door deze systemen te compromitteren zouden hackers in staat zijn gevoelige informatie buit te maken. De criminelen sturen slachtoffers bewijs in de vorm van screenshots en bestandsoverzichten.
Chanteren
Volgens Halcyon is de aanval gelinkt aan de groep Cl0p, die bekendstaat om grootschalige datadiefstal en het afdwingen van hoge losgelden. “We hebben de afgelopen dagen zeven- en achtcijferige eisen gezien”, aldus Cynthia Kaiser, vicepresident bij het ransomware-onderzoekscentrum van Halcyon. “Hun strategie is stille, massale datadiefstal die de druk in onderhandelingen enorm vergroot.”
Gecompromitteerde externe accounts
De eerste chantage-e-mails zouden al rond 29 september zijn verzonden, meldt Genevieve Stark van Google’s Threat Intelligence Group. De berichten zijn verstuurd via honderden gecompromitteerde externe accounts en bevatten gebrekkig Engels, een kenmerk van de groep. Hoewel Google aanwijzingen ziet dat er connecties zijn met Cl0p, is er volgens Stark nog onvoldoende bewijs om alle claims te verifiëren.
Wachtwoord-resetfunctie
De hackers zouden toegang hebben gekregen door misbruik te maken van de standaard wachtwoord-resetfunctie van internetgerichte Oracle E-Business-portalen, waarmee zij geldige inloggegevens wisten te bemachtigen. Oracle zelf heeft vooralsnog niet gereageerd op verzoeken om commentaar.
Cl0p is geen onbekende naam in de cyberwereld. In 2023 werd de groep beschuldigd van het uitbuiten van kwetsbaarheden in het filetransferproduct MOVEit, waarbij gegevens van honderden organisaties werden buitgemaakt. Onder de slachtoffers bevonden zich grote namen als Shell, British Airways en de BBC.
Cyberexperts waarschuwen
Het huidige incident onderstreept opnieuw de kwetsbaarheid van grootschalige bedrijfsapplicaties. Cyberexperts waarschuwen dat bedrijven extra alert moeten zijn op pogingen tot misbruik van accounts en dringend hun beveiligings- en authenticatieprocedures moeten aanscherpen.