Executivos de corporações internacionais, incluindo os do Google, têm sido alvos de mensagens de extorsão enviadas por criminosos virtuais. Afirmam ter acessado informações confidenciais dos sistemas da Oracle. As investidas começaram no dia 29 de setembro, atingindo principalmente usuários do Oracle E-Business Suite, solução empregada na gestão de finanças, recursos humanos (RH) e dados de clientes.
Conforme reportou o TechCrunch, Genevieve Stark, líder da área de crimes cibernéticos do Google Threat Intelligence Group, afirmou que as mensagens partiram de centenas de contas invadidas. Foram identificados alguns endereços eletrônicos ligados a grupos de ransomware, como o Clop. Apesar das suspeitas, ainda não se confirmou o roubo efetivo dos dados.
Táticas de extorsão e valores envolvidos
De acordo com a Halcyon, empresa especializada em segurança digital que auxiliou vítimas dessa investida, em alguns casos os criminosos chegaram a demandar até 50 milhões de dólares. O coletivo, que alega ser afiliado ao Clop, anexou evidências das invasões, como capturas de tela e hierarquias de arquivos, para pressionar pelo pagamento do resgate.
A estratégia incluiu o acesso não autorizado a contas de e-mail e a exploração do recurso padrão de recuperação de senha em portais da Oracle acessíveis online. Essa brecha permitiu que os atacantes obtivessem credenciais legítimas e ingressassem nos sistemas empresariais. As mensagens apresentavam erros gramaticais em inglês, marca registrada do grupo Clop.
Atuação do grupo Clop e advertências
O Clop tem histórico de ofensivas complexas contra grandes corporações, frequentemente explorando vulnerabilidades zero-day, ou seja, falhas ainda não identificadas pelos desenvolvedores. No ano passado, o grupo foi acusado de explorar brechas no MOVEit, afetando entidades como Shell, British Airways e BBC.
Em meados de 2023, a CISA, agência norte-americana de segurança digital, classificou o Clop como um dos principais disseminadores de phishing e mensagens maliciosas no mundo. Estimativas indicam que mais de 3 mil instituições nos EUA e cerca de 8 mil globalmente foram comprometidas.
A Oracle optou por não se manifestar sobre os incidentes. Enquanto isso, gestores e equipes de segurança continuam a monitorar as tentativas de chantagem e a intensificar protocolos para proteger informações críticas das organizações.
