Un nuovo allarme cyber arriva dal mondo della sicurezza informatica: Google Mandiant e il Google Threat Intelligence Group hanno individuato e stanno monitorando una nuova ondata di email di estorsione che colpisce aziende che utilizzano Oracle E-Business Suite. Questa attività malevola sembra essere collegata al noto gruppo ransomware Cl0p, già responsabile di numerosi attacchi e fughe di dati su scala globale.
Modus operandi degli attaccanti
Il modus operandi degli attaccanti prevede l’invio di email a dirigenti aziendali, con la minaccia di aver sottratto dati sensibili dai sistemi Oracle delle vittime. Secondo le prime analisi, la campagna avrebbe avuto inizio almeno dal 29 settembre 2025, ma le indagini sono ancora nelle fasi iniziali e non sono ancora state confermate le rivendicazioni degli attaccanti.
Caratteristiche degli attacchi
Gli attacchi non si concentrano su settori specifici ma sono di tipo opportunistico, un comportamento già visto in precedenti campagne attribuite a Cl0p. Charles Carmakal, CTO di Mandiant, ha descritto l’operazione come una campagna di email ad alto volume, lanciata da centinaia di account compromessi. Almeno uno di questi account risulta già associato in passato alle attività del gruppo FIN11, sottogruppo dei criminali informatici TA505, anch’esso legato a ransomware e malware.
Connessioni con il gruppo Cl0p
Le email di estorsione contengono informazioni di contatto già note e pubblicate sul sito di leak di Cl0p, rafforzando l’ipotesi di un collegamento tra i responsabili delle attuali minacce e il gruppo ransomware. Tuttavia, Google non ha ancora trovato prove dirette per confermare in modo definitivo la connessione, anche se le tecniche osservate ricordano quelle già sfruttate in altri attacchi Cl0p.
Accesso iniziale e vulnerabilità
Non è ancora chiaro come gli attaccanti ottengano l’accesso iniziale ai sistemi. Secondo alcune fonti, avrebbero compromesso email degli utenti e sfruttato la funzione di reset password di default per ottenere credenziali valide sugli Oracle E-Business Suite esposti su Internet. Oracle ha confermato di essere a conoscenza delle email di estorsione ricevute da alcuni clienti e ha avviato indagini, evidenziando la possibile presenza di vulnerabilità già identificate e corrette nell’aggiornamento di sicurezza di luglio 2025.
Raccomandazioni per la sicurezza
Oracle raccomanda con forza di applicare tutte le patch critiche più recenti per mitigare il rischio di compromissione. Cl0p, negli ultimi anni, si è distinto per la capacità di sfruttare vulnerabilità zero-day in vari software aziendali, colpendo migliaia di realtà in tutto il mondo. Mantenere aggiornati i sistemi e monitorare costantemente le attività sospette si conferma quindi essenziale per prevenire estorsioni e fughe di dati.
