Des groupes de cybercriminels associés au ransomware Clop ont commencé à envoyer des e-mails aux clients d’Oracle, demandant des paiements de rançon et affirmant avoir volé des données de leur E-Business Suite. Bien que les enquêteurs n’aient pas confirmé la véracité de ces affirmations, plusieurs enquêtes sont en cours sur les environnements Oracle appartenant aux organisations qui ont reçu ces communications.
Extorsion ou vol de données réel ?
Selon Charles Carmakal, CTO de Mandiant Consulting, une campagne de courriels à fort volume a été lancée depuis des centaines de comptes compromis. Les courriels contiennent des informations de contact et, curieusement, il a été vérifié que certaines des adresses fournies sont listées publiquement sur le site de fuite de données de Clop. Malgré cela, Clop n’a pas encore rendu publiques ses revendications sur ses plateformes de fuite.
La campagne d’extorsion a impliqué l’envoi d’e-mails adressés à des dirigeants d’entreprises depuis des comptes tiers compromis, débutant ou avant le 29 septembre. Genevieve Stark, responsable de l’analyse de l’intelligence sur la cybercriminalité au sein de Google Threat Intelligence Group, a commenté que, bien que les indices pointent vers Clop, il n’est pas clair si les revendications du groupe sont crédibles ni comment ils ont obtenu accès aux informations d’Oracle.
Bien que des efforts soient déployés pour déterminer l’authenticité de ces menaces, il n’y a actuellement aucune preuve d’un vol de données réussi ni de malware spécifique lié à cette campagne. Les communications d’extorsion exercent une pression sur les victimes pour qu’elles entament des négociations, mais ne contiennent pas de demandes concrètes. Des chercheurs travaillent en continu pour clarifier les détails de la manière dont cet accès possible à la E-Business Suite d’Oracle s’est produit et l’impact que cela pourrait avoir sur ses clients.
