Les utilisateurs d’Oracle E-Business Suite sont ciblés avec des e-mails de lance-phisseur réclamant le vol de données ERP sensibles. Que ce soit CL0P ou non, les experts mettent en garde des dangers.
Les utilisateurs d’Oracle E-Business Suite se méfient: les pirates peuvent (ou non) avoir volé vos données sensibles.
Des chercheurs de Halcyon, Google et Mandiant ont confirmé qu’ils suivaient l’activité d’un acteur de menace, «très susceptible» d’être affilié au gang CL0P notoire et réussi, qui envoie des e-mails à divers cadres affirmant qu’ils ont volé des données sensibles à leurs systèmes ERP de la suite E-Business Oracle.
L’activité a commencé «au plus tard» le 29 septembre 2025, selon Cynthia Kaiser, SVP du Ransomware Research Center de Halcyon, et les acteurs de la menace ont fait des demandes de rançon de sept et huit chiffres pouvant atteindre 50 millions de dollars. Ils ont soutenu leurs réclamations avec des preuves de compromis, y compris des captures d’écran et des arbres de licenciement.
Serait-ce CL0P? C’est difficile à savoir
L’Oracle E-Business Suite (EBS) est un système de planification des ressources d’entreprise (ERP) qui, selon le géant de la technologie, est utilisé par des milliers d’organisations à travers le monde.
Halcyon rapporte que les opérateurs de ransomwares «extorquent activement» les victimes via les pages de connexion locales (appslocallogin.jsp) des portails EBS exposés à Internet. Après avoir compromis les e-mails de l’utilisateur, les attaquants abusent de la fonction de réinitialisation de mot de passe par défaut pour obtenir des informations d’identification valides; Les comptes locaux contournent les contrôles de connexion unique sur l’entreprise (SSO) et manquent souvent d’authentification multi-facteurs (MFA), laissant des «milliers» d’organisations exposées.
Les organisations ciblées ont reçu des échantillons, y compris des captures d’écran des portails EBS et des listes d’arborescence de fichiers à partir d’environnements compromis, qui semblent valider les revendications d’extorsion, a déclaré Kaiser. Les tactiques et l’approche d’extorsion s’alignent avec les campagnes antérieures CL0P, a-t-elle noté, et les agrégateurs de fuites de données ont «renforcé les affirmations». Elle a souligné que le groupe semble abuser des configurations, et non d’exploiter les vulnérabilités.
Les e-mails malveillants envoyés par le groupe contiennent des informations de contact pour les pirates, et deux adresses spécifiques sont répertoriées publiquement sur le site de fuite de données CL0P. Au moins l’un des comptes énumérés a été associé au groupe de menaces motivé financièrement FIN11, connu pour ses ransomwares et ses tactiques d’extorsion.
Initialement, les chercheurs étaient douteux quant à savoir si le groupe était en fait ce qu’il prétendait être; Le CTO mandiant Charles Carmakal a noté que l’attribution dans la cybercriminalité est «souvent complexe», les acteurs de menace imitant les acteurs plus notoires pour augmenter l’effet de levier et la pression.
En fin de compte, « cette campagne d’attaque de lance-phishing est dangereuse, non seulement en raison du potentiel et de la menace de vol de données, mais parce qu’il atteint les systèmes même critiques qui gèrent l’entreprise », a déclaré Erik Avakian, conseiller technique du groupe de recherche Info-Tech. «Des données de grande valeur comme la paie, les factures des fournisseurs, les contrats et les informations RH sensibles fournissent une cible principale à un acteur de menace.»
Execs: n’engagez pas téméraire ‘
Il n’y a pas de vulnérabilités et d’expositions communes (CVE) pour cette attaque; Le problème «découle de la configuration et de la maltraitance de la logique commerciale par défaut plutôt qu’une vulnérabilité spécifique», selon Halcyon.
L’entreprise conseille aux organisations de vérifier si les portails EBS sont accessibles au public (via https: ///oa_html/appslocallogin.jsp#) et, dans l’affirmative, restreignez immédiatement l’exposition. Il est également essentiel d’appliquer le MFA pour tous les comptes; supprimer ou «contrôler étroitement» l’accès Internet aux EB via des proxys inversés durcis qui font rebondir le trafic; Désactiver ou sécuriser les capacités de réinitialisation du mot de passe et nécessiter une vérification secondaire; surveiller les connexions anormales et réinitialiser les tentatives; et déployer des outils anti-ransomware.
En tant que pratique standard, les organisations devraient former les utilisateurs, en particulier le personnel exécutif, sur les tactiques des acteurs de la menace, ils se méfient donc naturellement des e-mails, des textes ou des appels vocaux qui «jouent sur la peur, l’urgence ou la connaissance des systèmes par leur nom», a conseillé Avakian d’Info-Tech. Les dirigeants en particulier ne devraient pas «s’engager imprudemment» lors de la réception d’un message menaçant.
De plus, les équipes de sécurité devraient enquêter, valider et rechercher toute preuve d’exfiltration réussie. Cela peut inclure l’examen des journaux et la recherche de requêtes inhabituelles ou de grandes quantités de données exportées.
«Ce type d’attaque offre aux organisations l’occasion de resserrer la surveillance et d’employer des principes de confiance zéro sur la surface protégée, tels que les applications critiques, en particulier autour des EB Oracle», a-t-il conseillé.
MENONAGE ACTEURS Changement de tactiques
CL0P a émergé en février 2019, selon Halcyon, s’établissant rapidement comme une opération de ransomware prolifique et financièrement réussie. Le groupe a généré plus de 500 millions de dollars en paiements extorqués et compromis plus de 11 000 organisations dans le monde.
Le modus operandi du groupe consiste à infiltrer les réseaux d’entreprise, à voler des données et à déployer des ransomwares pour les crypter. L’un de ses actes les plus notables a été son exploitation de la vulnérabilité Movenit Zero-Day en 2023.
Cette dernière attaque met en lumière un éventuel passage à l’extorsion sans ransomware, a déclaré Avakian, tout en soulignant que les pirates «peuvent et font souvent» changer leurs tactiques à tout moment.
Cette campagne révèle également un modèle clé dans lequel les pirates ciblent directement le leadership, ainsi que des produits ou des applications très spécifiques, pour créer une pression maximale. « Même si les assaillants n’ont pas les données qu’ils prétendent avoir, ils exploitent toujours la peur et l’urgence pour faire pression sur le leadership », a déclaré Avakian.
Oracle Dreftaps peut avoir conduit à cela
Cette affaire est «fascinante» sous un angle de relations publiques, selon David Shipley de Beauceron Security; De nombreuses préoccupations ont été soulevées plus tôt cette année lorsque la nouvelle a annoncé des violations de données sur Oracle Health. L’entreprise a été accusée dans un procès pour couvrir l’attaque, ce qui l’a incité à informer les clients du compromis potentiel des noms d’utilisateur, des clés de passe et des mots de passe cryptés.
Cette mauvaise communication a créé une «quantité massive d’incertitude, de peur et de doute» qui a conduit à une «gueule de bois toxique», a déclaré Shipley.
« Ils ont si mal assombri les eaux avec leurs communications que les gens ne savent pas quoi croire », a-t-il déclaré. Cela offre une «énorme opportunité» pour les acteurs de la menace, car tant de méfiance peuvent inciter les organisations à supposer qu’une violation est réelle et céder aux demandes d’extorsion.
En fin de compte, cela devrait servir d’étude de cas illustrant à quel point il est important pour les entreprises d’avoir un plan de communication clair et de partager des informations aussi rapidement et précisément que possible lorsqu’ils sont violés, a noté Shipley. « Il s’agit davantage des communications de relations publiques et de crise et un peu sur l’image de marque et la réputation criminelles toutes mélangées », a-t-il déclaré.
