Pesquisadores de segurança do Google identificaram que hackers ligados ao grupo de extorsão Clop roubaram dados de “dezenas de organizações” explorando falhas no Oracle E-Business Suite, plataforma corporativa usada para gerenciar operações empresariais e armazenar dados sensíveis, como informações de clientes e funcionários. Segundo o Google, trata-se de um dos primeiros indícios de que o ataque pode ter alcance global.
A empresa confirmou em comunicado divulgado ao TechCrunch que o grupo utilizou múltiplas vulnerabilidades no sistema da Oracle para obter acesso a grandes volumes de dados. A campanha teria começado em 10 de julho, cerca de três meses antes de as primeiras invasões serem detectadas.
O Oracle E-Business Suite é amplamente usado por corporações para administrar áreas como finanças, logística, recursos humanos e relacionamento com clientes. Por esse motivo, a exploração de falhas no software representa um risco elevado, pois permite o acesso direto a informações corporativas estratégicas.
Leia também: A “nova Intel” propõe arquitetura aberta para destronar sistemas fechados de IA
Vulnerabilidade sem autenticação
A Oracle reconheceu que o ataque está em andamento e confirmou a existência de uma falha de dia zero — termo usado quando a vulnerabilidade é descoberta ao mesmo tempo em que começa a ser explorada, antes de haver tempo para um reparo. De acordo com um alerta de segurança publicado pela empresa, o bug pode ser explorado pela rede sem necessidade de nome de usuário ou senha, ampliando o potencial de impacto.
A companhia havia afirmado, dias antes, que as invasões estavam relacionadas a vulnerabilidades já corrigidas em julho. A declaração foi feita por Rob Duhart, diretor de segurança da Oracle, em um post que posteriormente foi removido. No entanto, novos indícios mostraram que o ataque continuava ativo e que os criminosos seguiam explorando brechas não corrigidas.
Histórico do grupo Clop
O Clop, ligado à Rússia, é conhecido por ataques de grande escala que combinam sequestro e extorsão de dados. O grupo ganhou notoriedade por explorar falhas em ferramentas de transferência segura de arquivos, como MOVEit, Cleo e GoAnywhere, usadas por empresas para enviar informações sensíveis pela internet.
Essas ações seguem um padrão: explorar vulnerabilidades ainda desconhecidas pelos fornecedores, roubar grandes volumes de dados corporativos e, em seguida, ameaçar divulgar ou vender as informações caso o resgate não seja pago.
Indícios e recomendações
Em seu blog, o Google publicou endereços de e-mail e detalhes técnicos que podem ajudar equipes de segurança a identificar se seus sistemas Oracle foram comprometidos ou se receberam mensagens de extorsão. A empresa recomenda que administradores verifiquem logs de acesso, atualizem imediatamente os pacotes de segurança e monitorem comunicações suspeitas.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
