ワシントン・ポストは、Oracle E-Business Suiteの顧客を標的としたデータ窃盗および恐喝キャンペーンの影響を受け、現職および元従業員や契約者を含む約1万人分の人事データが漏洩したと発表しました。
同社は、9月29日に「悪意のある第三者」から同社のOracleアプリケーションにアクセスしたと連絡を受け、攻撃に気付き調査を開始したと、メイン州に水曜日に提出したデータ侵害通知で明らかにしました。ワシントン・ポストはその後、攻撃者が7月10日から8月22日まで同社のOracle環境にアクセスしていたことを突き止めました。
同紙は、数十社のOracle顧客の一つであり、Clopランサムウェアグループによって標的にされました。このグループは、Oracle E-Business Suiteに影響するゼロデイ脆弱性を悪用して大量のデータを窃取しました。他の被害者にはEnvoy AirやGlobalLogicなどが含まれています。
ワシントン・ポストは、10月27日に攻撃で盗まれたデータの範囲を確認し、氏名、銀行口座番号およびルーティング番号、社会保障番号など9,720人分の個人情報が漏洩したと述べました。同社は、なぜ盗まれたデータ量の特定にほぼ1か月かかったのかについて説明しておらず、複数回のコメント要請にも応じていません。
Oracleは、Oracle E-Business Suiteに影響するゼロデイ脆弱性 — CVE-2025-61882 — を10月4日のセキュリティ勧告で公表し、パッチを提供しました。また、一部の顧客が恐喝メールを受け取っていることを認識していたと述べています。Mandiantは、攻撃の直後に対応し、Clopが複数の脆弱性、特にゼロデイ脆弱性を悪用してOracle E-Business Suite顧客環境から大量のデータにアクセスし、窃取したと述べました。
Oracle、顧客、そしてサードパーティの研究者は、被害組織の幹部がClopのメンバーから支払いを要求する恐喝メールを9月下旬に受け取るまで、攻撃に気付いていませんでした。Halcyonのランサムウェア研究センター上級副社長であるシンシア・カイザー氏は以前CyberScoopに対し、身代金の要求額が最大5,000万ドルに達したと語っています。
Clopのデータリークサイトには、先週時点で約30の被害組織が掲載されていました。この悪名高いランサムウェアグループは、支払いがなければ被害者のデータを公開すると脅迫しています。
このランサムウェアグループは、これまでも複数のテクノロジーベンダーのシステムに侵入し、データを盗み、多くの下流顧客を恐喝してきました。Clopはファイル転送サービスの脆弱性を悪用することを得意とし、2023年にはMOVEit環境に侵入して大規模な被害をもたらし、最終的に2,300以上の組織のデータが漏洩しました。
翻訳元: https://cyberscoop.com/washington-post-oracle-clop-attacks/
