Специалисты по кибербезопасности из Google Mandiant и Google Threat Intelligence Group (GTIG) расследуют новую крупномасштабную кампанию вымогательства. Злоумышленники рассылают массовые электронные письма руководителям высшего звена различных организаций, утверждая, что похитили конфиденциальные данные. Целью атаки являются компании, использующие программный комплекс Oracle E-Business Suite. Первые признаки этой активности были зафиксированы 29 сентября 2025 года или ранее.
Кампания характеризуется высокой интенсивностью: вымогательские письма отправляются с сотен взломанных учетных записей. В настоящее время Mandiant находится на ранних стадиях нескольких расследований. Важно отметить, что заявления злоумышленников о краже данных пока не получили независимого подтверждения. Также остается неясным, каким образом атакующие получают первоначальный доступ к системам своих жертв.
Основная улика, указывающая на причастность известной группировки, — это контактная информация в письмах с требованием выкупа. Два электронных адреса, предоставленных злоумышленниками для связи, также публично указаны на сайте утечек данных (DLS), принадлежащем группе вымогателей Cl0p. Этот факт является весомым аргументом в пользу связи текущей кампании с этой группировкой.
По словам технического директора Mandiant Чарльза Кармакала, такое совпадение убедительно свидетельствует о связи с Cl0p. Он предполагает, что злоумышленники целенаправленно используют «узнаваемость бренда» Cl0p, чтобы усилить психологическое давление на жертв и повысить вероятность выплаты выкупа. Тактика, применяемая в текущей кампании, также имеет сходство с предыдущими операциями этой группы.
Несмотря на веские косвенные доказательства, в Google подчеркивают, что пока не располагают собственными независимыми данными, которые могли бы окончательно подтвердить связь новой волны атак с Cl0p. Возглавляет анализ со стороны GTIG Женевьева Старк, руководитель отдела анализа разведданных о киберпреступности и информационных операциях.
Расследование выявило связь и с другой известной киберпреступной группой. Как минимум одна из взломанных учетных записей, использовавшихся для рассылки писем, ранее была замечена в активности, приписываемой группе FIN11. Эта группировка, в свою очередь, считается подразделением более крупного киберпреступного синдиката, известного как TA505.
По данным Mandiant, группа FIN11 занимается атаками с использованием программ-вымогателей и вымогательством как минимум с 2020 года. В прошлом ее деятельность была связана с распространением таких вредоносных программ, как FlawedAmmyy, FRIENDSPEAK и MIXLABEL, что указывает на высокий уровень технической подготовки и финансовую мотивацию ее участников.
Группировка Cl0p известна в экспертном сообществе как одна из самых активных и опасных. Ее фирменным стилем является эксплуатация уязвимостей нулевого дня в популярных корпоративных программных продуктах для массового взлома и последующего вымогательства.
В послужном списке Cl0p числятся успешные кампании по взлому систем Accellion FTA, SolarWinds Serv-U FTP, Fortra GoAnywhere MFT и Progress MOVEit Transfer. В результате этих атак были скомпрометированы данные тысяч организаций по всему миру, что нанесло им колоссальный финансовый и репутационный ущерб.
В связи с текущей угрозой специалисты Google настоятельно рекомендуют всем организациям, использующим Oracle E-Business Suite, провести внутреннее расследование для поиска любых следов активности злоумышленников в своих сетях. Тем временем издание The Hacker News уже направило официальный запрос в компанию Oracle для получения комментариев по поводу атак на пользователей ее продуктов.
Кампания характеризуется высокой интенсивностью: вымогательские письма отправляются с сотен взломанных учетных записей. В настоящее время Mandiant находится на ранних стадиях нескольких расследований. Важно отметить, что заявления злоумышленников о краже данных пока не получили независимого подтверждения. Также остается неясным, каким образом атакующие получают первоначальный доступ к системам своих жертв.
Основная улика, указывающая на причастность известной группировки, — это контактная информация в письмах с требованием выкупа. Два электронных адреса, предоставленных злоумышленниками для связи, также публично указаны на сайте утечек данных (DLS), принадлежащем группе вымогателей Cl0p. Этот факт является весомым аргументом в пользу связи текущей кампании с этой группировкой.
По словам технического директора Mandiant Чарльза Кармакала, такое совпадение убедительно свидетельствует о связи с Cl0p. Он предполагает, что злоумышленники целенаправленно используют «узнаваемость бренда» Cl0p, чтобы усилить психологическое давление на жертв и повысить вероятность выплаты выкупа. Тактика, применяемая в текущей кампании, также имеет сходство с предыдущими операциями этой группы.
Несмотря на веские косвенные доказательства, в Google подчеркивают, что пока не располагают собственными независимыми данными, которые могли бы окончательно подтвердить связь новой волны атак с Cl0p. Возглавляет анализ со стороны GTIG Женевьева Старк, руководитель отдела анализа разведданных о киберпреступности и информационных операциях.
Расследование выявило связь и с другой известной киберпреступной группой. Как минимум одна из взломанных учетных записей, использовавшихся для рассылки писем, ранее была замечена в активности, приписываемой группе FIN11. Эта группировка, в свою очередь, считается подразделением более крупного киберпреступного синдиката, известного как TA505.
По данным Mandiant, группа FIN11 занимается атаками с использованием программ-вымогателей и вымогательством как минимум с 2020 года. В прошлом ее деятельность была связана с распространением таких вредоносных программ, как FlawedAmmyy, FRIENDSPEAK и MIXLABEL, что указывает на высокий уровень технической подготовки и финансовую мотивацию ее участников.
Группировка Cl0p известна в экспертном сообществе как одна из самых активных и опасных. Ее фирменным стилем является эксплуатация уязвимостей нулевого дня в популярных корпоративных программных продуктах для массового взлома и последующего вымогательства.
В послужном списке Cl0p числятся успешные кампании по взлому систем Accellion FTA, SolarWinds Serv-U FTP, Fortra GoAnywhere MFT и Progress MOVEit Transfer. В результате этих атак были скомпрометированы данные тысяч организаций по всему миру, что нанесло им колоссальный финансовый и репутационный ущерб.
В связи с текущей угрозой специалисты Google настоятельно рекомендуют всем организациям, использующим Oracle E-Business Suite, провести внутреннее расследование для поиска любых следов активности злоумышленников в своих сетях. Тем временем издание The Hacker News уже направило официальный запрос в компанию Oracle для получения комментариев по поводу атак на пользователей ее продуктов.