産業大手のシュナイダーエレクトリックとエマソンが、最近のオラクルE-Business Suite(EBS)インスタンスを標的としたキャンペーンの被害者としてサイバー犯罪者に名指しされました。
脅威アクターは、おそらく利益目的の脅威グループFIN11のクラスターであり、オラクルEBSの脆弱性を悪用して、多数の企業からデータを窃取しました。その中には大手企業も含まれています。
ハッカーたちは、Cl0pランサムウェア用に設置されたリークウェブサイトで、被害者とされる企業の名前を公表し始めており、場合によっては標的となった企業から取得したとされるデータの公開も始めています。
その被害者とされる2社がシュナイダーエレクトリックとエマソンですが、いずれもSecurityWeekの度重なるコメント要請に応じていません。
Cl0pのリークウェブサイトには、エマソンから取得したとされる2.7TBのアーカイブファイルと、シュナイダーエレクトリックから取得したとされる116GBのアーカイブファイルへのリンクが掲載されています。
SecurityWeekの調査(リークされたファイルツリーと関連メタデータの構造的分析に限定)は、いずれの場合もデータがオラクル環境に由来する可能性が高いことを示しています。
セキュリティ研究者のドミニク・アルヴィエリも、リークされたデータが最近のオラクルEBSハッキングの結果である可能性が高いことを独自に確認しています。
SecurityWeekはCl0pのリークウェブサイトに掲載されている複数の企業に連絡を取りましたが、いずれも回答していません。これは現在も調査が進行中であるためと思われます。
しかし、ハーバード大学、南アフリカのウィッツ大学、アメリカン航空の子会社エンヴォイ・エアなどの大手組織は、被害を受けたことを公に認めています。
最近のオラクルEBSハッキングの背後にいる脅威グループは、Cleo、MOVEit、Fortraのファイル転送製品を標的とした類似のキャンペーンも行ったと考えられています。これらの攻撃はいずれも多数の組織を標的とし、大量のデータが流出しました。
過去の証拠から、オラクルEBSキャンペーンのサイバー犯罪者が虚偽の被害主張をする可能性は低いと考えられますが、彼らや他の利益目的のグループが、流出したデータの機密性を誇張する傾向があることが観察されています。
もし事実であれば、シュナイダーエレクトリックとエマソンがサイバー犯罪者に標的にされたのは今回が初めてではありません。
約1年前、Medusaランサムウェアグループがエマソンから約1TBのデータを窃取したと主張し、10万ドルの身代金を要求しました。
