Executivos de grandes empresas globais, como o Google, estão sendo alvo de uma campanha de extorsão cibernética. Hackers alegam ter roubado dados sensíveis de sistemas corporativos da Oracle, especificamente de usuários do Oracle E-Business Suite – uma plataforma usada para gerenciar finanças, RH e informações de clientes. Os ataques teriam começado em 29 de setembro.
Google Investiga e Identifica Assinatura do Clop
De acordo com o TechCrunch, Genevieve Stark, chefe de crimes cibernéticos do Google Threat Intelligence Group, revelou que os e-mails foram disparados a partir de centenas de contas comprometidas, algumas já associadas a grupos de ransomware, como o Clop. Apesar das alegações, o Google ainda não conseguiu verificar se houve, de fato, o roubo dos dados.
Extorsão Milionária e Método do Ataque
A empresa de cibersegurança Halcyon, que está auxiliando as vítimas, informou que os hackers exigiram resgates que chegam a US$ 50 milhões em alguns casos.
O grupo, que se identifica como afiliado ao Clop, enviou provas da invasão — como capturas de tela e estruturas de diretórios de arquivos — para pressionar as vítimas a pagar. O ataque utilizou um método sofisticado:
- Comprometimento de E-mails: O grupo comprometeu e-mails de usuários.
- Exploração de Redefinição de Senha: Em seguida, explorou a função padrão de redefinição de senha de portais da Oracle acessíveis pela internet.
Essa prática permitiu aos criminosos obter credenciais válidas e acesso aos sistemas corporativos. Os e-mails de extorsão continham inglês e gramática mal formulados, um padrão característico do grupo Clop.
Histórico e Alertas Sobre o Grupo Clop
O grupo Clop é notório por seus ataques sofisticados, frequentemente explorando vulnerabilidades zero-day (falhas desconhecidas pelos fabricantes). Em 2023, o grupo ganhou destaque ao ser acusado de explorar falhas no software MOVEit, comprometendo dados de centenas de organizações em todo o mundo, incluindo Shell, British Airways e BBC.
Em junho de 2023, a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) alertou que o Clop é “um dos maiores distribuidores de phishing e malspam do mundo”, estimando que o grupo tenha comprometido dados de mais de 3 mil organizações nos EUA e cerca de 8 mil globalmente.
A Oracle não se manifestou sobre os ataques recentes. Enquanto isso, equipes de segurança de grandes empresas seguem em alerta, monitorando as tentativas de extorsão e reforçando medidas de proteção de dados.
