Компания Oracle официально подтвердила масштабную утечку данных из своих приложений E-Business Suite (EBS), которую осуществила группа хакеров, использующая полученную информацию в вымогательских кампаниях. По данным расследования, злоумышленники эксплуатировали уязвимости, уже устраненные в июльском обновлении безопасности 2025 года (Critical Patch Update, CPU). Oracle настоятельно рекомендует всем клиентам немедленно установить последние патчи для защиты от дальнейших вторжений.
Руководители и ИТ-команды нескольких крупных организаций получили письма с требованиями выкупа, в которых утверждается, что данные их Oracle EBS были скопированы. Хакеры требуют до 50 миллионов долларов за неразглашение информации. Кибербезопасная компания Halcyon, участвующая в реагировании на инциденты, сообщает, что группа идентифицирует себя как связанную с бандой программ-вымогателей Cl0p. Жертвам предоставляются скриншоты, списки файлов и другие доказательства хищения записей для подтверждения угроз.
Атаки начались не позднее 29 сентября, когда злоумышленники начали рассылать угрозы по электронной почте, используя сотни скомпрометированных учетных записей третьих сторон. Сообщения отличались плохим английским языком и грамматикой, что является характерной чертой коммуникаций Cl0p. По меньшей мере одна компания публично признала, что данные её EBS были экспортированы незаконным путем. Как отмечает Женевьева Старк из группы анализа угроз Google, один из адресов электронной почты, использовавшийся в вымогательских письмах, ранее связывался с аффилированным лицом Cl0p.
Синтия Кайзер из Halcyon поясняет, что Cl0p известна скрытными массовыми хищениями данных и высокими требованиями выкупа. В предыдущих громких инцидентах группа использовала уязвимости в программном обеспечении для передачи файлов MOVEit для кражи информации из сотен организаций. Cl0p нацеливалась на такие крупные компании, как Shell, British Airways и BBC, требуя значительные выплаты для предотвращения утечек данных.
По имеющимся сведениям, злоумышленники злоупотребили функциями сброса пароля по умолчанию на интернет-ориентированных порталах EBS. Однако некоторые осведомленные источники полагают, что нарушение произошло из-за уязвимости EBS, устраненной в июльском CPU. Расследование Oracle продолжается, и компания пока не прокомментировала точный метод проникновения.
Все клиенты Oracle EBS должны убедиться, что июльское обновление CPU 2025 года применено к каждому экземпляру системы. Организации, все еще использующие старые уровни исправлений, подвергаются повышенному риску кражи данных и вымогательства. ИТ-специалистам рекомендуется проверить журналы доступа на предмет подозрительной активности сброса паролей и отслеживать учетные записи третьих сторон на признаки компрометации.
Кроме того, клиентам следует внедрить строгую многофакторную аутентификацию для доступа к EBS и ограничить административные функции доверенными сетями. Регулярная проверка целостности системы с помощью автоматизированного сканирования и поддержание автономных резервных копий обеспечат быстрое восстановление. Oracle продолжает сотрудничать с правоохранительными органами и партнерами в сфере кибербезопасности для отслеживания кампании и поддержки пострадавших клиентов.
Установка июльского обновления CPU 2025 года остается критически важным первым шагом для защиты сред E-Business Suite от этих угроз вымогательства. Быстрое применение исправлений значительно снижает риски, связанные с эксплуатацией известных уязвимостей, демонстрируя необходимость поддержания актуальности систем в условиях роста целевых атак на корпоративные программные платформы.
