勒索軟體駭客Clop聲稱從多家公司的Oracle E-Business Suite系統竊得資料

前幾年先後針對Accellion、GoAnywhere、MOVEit、Cleo等多款MFT檔案共享系統的勒索軟體駭客Clop，最近傳出再度犯案的情況，Google威脅情報團隊（GTIG）與資安業者Mandiant已介入調查，傳出這次駭客鎖定的標的，是Oracle旗下的應用系統。

這項消息最早是路透社報導揭露，Google掌握有駭客正在向多家公司的高階主管發送電子郵件進行勒索，聲稱從Oracle商業應用程式E-Business Suite（EBS）竊得敏感資料。而對於攻擊者的身分，Google透露是勒索軟體駭客Clop的附屬團體（Affiliation），而且電子郵件活動的數量相當多，但除此之外，該公司拒絕透露其他細節，並強調他們目前沒有足夠的證據來佐證這些說法的真實性。路透社想尋求Oracle的評論，但至今尚未得到回覆。而在路透社與Clop的電子郵件聯繫上，Clop表示目前不打算討論細節。

資安業者Halcyon勒索軟體研究中心首長Cynthia Kaiser表示，他們看到的勒索金額從數百萬美元至數千萬美元不等，最高金額為5千萬美元。對於攻擊者的身分，Cynthia Kaiser認為根據初期發現的跡象，很有可能與Clop有關，但與該組織的關聯仍不明朗。

後續科技新聞網站Bleeping Computer、TechCrunch跟進報導，揭露更多資訊。兩家媒體均引述Google網路犯罪分析首長Genevieve Stark說法表示，駭客聲稱從9月29日開始向高階主管寄信，但Google尚未證實駭客的說法是否屬實。這些信件從數百個被入侵的帳號寄出，其中一個是勒索軟體駭客組織FIN11（Clop）持有的帳號。

Google事件回應單位Mandiant的技術長Charles Carmakal也對上述媒體透露，寄給高階主管的惡意郵件內含Clop資料外洩網站列出的聯繫管道，駭客藉此向受害企業組織施壓，要求付款換取移除被竊的檔案。

Bleeping Computer的報導當中，還特別公開他們取得的勒索信內容。寄信人聲稱來自Clop團隊，表示他們入侵收信人所屬組織的Oracle E-Business Suite應用程式，複製了一大堆文件，所有的內部資料和其他資訊目前都存放在他們的系統。而且，這家資安新聞網站確認信中列出的電子郵件信箱，與Clop設置的資料外洩網站公布的資料相同。

Charles Carmakal認為，雖然這些手法與Clop先前的活動相當類似，但他們沒有足夠的證據確定駭客竊得相關資料。

Clop後續向Bleeping Computer透露是他們所為，但不願透露其他細節，僅表示Oracle的核心產品再度出現錯誤，很快就會真相大白。

10月3日Oracle透過部落格提出警告，他們得知有部分Oracle E-Business Suite客戶收到勒索信，根據該公司的調查發現，攻擊者利用的漏洞，他們已在7月修補，但並未透露漏洞的CVE編號。對此，他們呼籲客戶套用最新的修補程式來因應。