近日,全球多家企业的管理层正面临一波勒索邮件的冲击。这些邮件来自声称与臭名昭著的Cl0p勒索软件团伙有关的黑客,他们宣称已从甲骨文(Oracle)的E-Business Suite应用程序中窃取了敏感数据。谷歌公司在周四发出了警告,研究人员称之为一场“大规模”的网络攻击活动,始于9月29日左右。然而,安全专家目前尚未能证实这些说法的真实性。
据网络安全公司Halcyon透露,攻击者索要的赎金高达七到八位数,其中一笔赎金据称甚至达到5000万美元。但谷歌的威胁情报小组(Threat Intelligence Group)谨慎表示,其“目前没有足够证据能明确评估这些说法的真实性”。
勒索攻击瞄准关键业务系统
甲骨文的E-Business Suite在全球范围内为数千家企业管理着核心业务运营,包括财务交易、供应链管理和客户关系系统等关键模块。这些勒索邮件通过数百个受感染的第三方账户发送,其英语表达拙劣且存在语法错误,这与Cl0p团伙过往的操作手法如出一辙。
谷歌Mandiant部门的首席技术官查尔斯·卡尔马卡尔(Charles Carmakal)证实,邮件中的联系地址与Cl0p数据泄露网站上公开列出的地址相符。初步分析还显示,至少有一个被入侵的电子邮件账户此前曾与FIN11组织有关联。FIN11是一个长期活跃的、以经济利益为驱动的威胁组织,以部署勒索软件和进行勒索活动而闻名。
根据获取了一份勒索邮件副本的CyberScoop报道,攻击者自称是“CL0P团队”,并宣称他们“不追求政治权力,也不关心任何业务”,但“有兴趣摧毁受害者的业务”,并希望“拿到钱后,受害者就再也听不到他们的消息”。
与臭名昭著的网络犯罪集团Cl0p的关联
Cl0p团伙在2023年因利用MOVEit文件传输软件的漏洞而声名狼藉,最终导致包括壳牌(Shell)、英国航空公司(British Airways)和英国广播公司(BBC)在内的2300多家组织的数据遭到泄露。美国网络安全和基础设施安全局(CISA)将Cl0p描述为“全球最大的网络钓鱼和垃圾邮件分发者之一”,估计该组织已在美国入侵了3000多家组织,全球范围内则超过8000家。
安全研究人员指出,攻击者似乎滥用了甲骨文E-Business Suite面向互联网门户的默认密码重置功能,以获取有效的登录凭证。然而,调查人员仍在努力确认是否确实发生了数据泄露事件,或者这仅仅是一个精心策划的虚张声势,旨在迫使受害者支付赎金。
针对此次指控的攻击,甲骨文公司尚未对此置评。谷歌研究人员正在持续调查多起相关事件,并敦促所有使用甲骨文E-Business Suite的企业仔细检查其系统,警惕任何未经授权的访问迹象。
