Um grupo de cibercriminosos, que afirma ter ligações ao conhecido grupo de ransomware Cl0p (também conhecido como FIN11 ou TA505), reclama a responsabilidade pelo ataque à suite de aplicações da Oracle e já terá pedido um resgate de 50 milhões de dólares, indicam dados da empresa de cibersegurança Halcyon.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

A empresa, citada pela Bloomberg, detalha que os atacantes comprometeram emails de utilizadores e exploraram a funcionalidade de reposição de passwords para obter credenciais válidas para portais do E-Business Suite expostos na Internet.

O caso também está a ser investigado por empresas como a Mandiant, mas também pela Google. Segundo Genevieve Stark, responsável pela área de cibercrime do Google Threat Intelligence Group, o grupo terá começado a enviar os emails a 29 de setembro ou mesmo antes.

A responsável detalha que os emails foram enviados a partir de centenas de contas comprometidas de terceiros, alegando o roubo de informação. Pelo menos um dos endereços de email da campanha já foi usado anteriormente por alguém com ligações ao Cl0p e as mensagens contém contactos que estão listados no site do grupo de ransomware. No entanto, a Google ainda não tem provas suficientes para verificar as alegações feitas pelos atacantes, indica a responsável.

Charles Carmakal, CTO da Mandiant, afirma ao website Bleeping Computer que os emails de extorsão estão a ser enviados a partir de um vasto conjunto de endereços de correio eletrónico comprometidos.

“Estamos atualmente a observar uma campanha com um elevado volume de emails, lançada a partir de centenas de contas comprometidas e a nossa análise preliminar confirma que pelo menos uma delas já esteve anteriormente ligada a atividades do grupo FIN11”, indica o responsável.

Embora as táticas observadas sejam semelhantes a campanhas realizadas pelo grupo Cl0p e que os endereços de email indiquem uma possível ligação, Charles Carmakal também afirma que ainda não existem provas suficientes para determinar se os dados foram realmente roubados.

Acredita-se que o grupo Cl0p está ativo, pelo menos, desde 2019, quando começou a atacar redes corporativas com uma variante do ransomware CryptoMix.

O grupo ainda é conhecido por visar grandes empresas, usando ransomware para encriptar ficheiros e exigindo resgates, mas em 2020, o também começou a explorar vulnerabilidades zero-day em plataformas de transferências de ficheiros para roubar dados.

Um dos casos mais conhecidos envolve a exploração de vulnerabilidades na plataforma MOVEit em 2023, que resultou no roubo de informação de 2.773 organizações um pouco por todo o mundo.

Nesse mesmo ano, a Agência de Cibersegurança e Segurança de Infraestruturas dos Estados Unidos (CISA, na sigla em inglês) e o FBI emitiram um alerta sobre o Cl0p, estimando que tivesse comprometido mais de 3.000 organizações no e 8.000 em todo o mundo. 

Além disso, desde 2023 que o Departamento de Estado dos Estados Unidos oferece uma recompensa de até 10 milhões de dólares por informação que ligue as atividades de ransomware do Cl0p a um governo estrangeiro.