En ny bølge af digitale afpresningsforsøg rammer netop nu topledere i virksomheder verden over.
Afsenderne er en gruppe hackere, der hævder at have kompromitteret Oracles E-Business Suite, som er et forretningssystem, der anvendes til alt fra økonomistyring og logistik til kundeoplysninger.
Ifølge både Bloomberg og Reuters har gruppen, som påstår tilknytning til den notoriske ransomware-organisation Cl0p, udsendt en række målrettede trusselsmails til et ukendt antal virksomhedsledere.
Hackerne hævder, at de har stjålet følsomme forretningsdata og kræver løsepenge for ikke at offentliggøre materialet. I ét tilfælde skal løsesummen være helt op til 50 millioner dollar, svarende til mere end 317 millioner kroner.
"Vi har set Cl0p kræve løsepenge i størrelsesordenen syv- og ottecifrede beløb de seneste dage," siger Cynthia Kaiser, som er vice president ved Halcyons ransomware research center, ifølge Bloomberg.
Ifølge hende er denne gruppe berygtet for deres storskala datatyveri, hvilket styrker deres forhandlingsposition, når de afpresser virksomheder.
Ramt via Oracle-system
Ifølge cybersikkerhedsfirmaet Halcyon, der hjælper til med at håndtere kampagnen, har hackerne udnyttet svagheder i Oracles portaler, som er eksponeret mod internettet.
Det er blandt andet sket via kompromitterede e-mailadresser og misbrug af en standardfunktion til nulstilling af passwords.
Gruppen har ifølge Halcyon vedhæftet skærmbilleder og filstrukturer i trusselsmailsne, som skal fungere som bevis for deres adgang til disse data.
Oracle har ikke ønsket at kommentere sagen over for Bloomberg eller Reuters.
Google: Målrettet kampagne mod topledere
Samtidig bekræfter Google over for Reuters, at selskabets trusselsanalytikere har observeret udsendelse af trusselsmails til "ledere i adskillige organisationer".
Ifølge selskabet drejer det sig om en gruppe, der hævder tilknytning til ransomware-netværket Cl0p, som sender mails til topledere i en lang række organisationer, hvor de påstår at have stjålet følsomme data fra Oracle E-Business Suite, skriver Google i en skriftlig kommentar til Reuters.
Google skriver samtidig, at virksomheden "på nuværende tidspunkt ikke har tilstrækkelig dokumentation til endeligt at vurdere rigtigheden af hackergruppens påstande".
Ifølge nyhedsbureauet bliver trusselsmailsne sendt fra flere hundrede kompromitterede tredjeparts-konti.
Ifølge en kilde disse mails kendetegnet ved ringe engelsk og grammatiske fejl, hvilket skulle være et kendetegn, der tidligere er set i kampagner med tilknytning til Cl0p.
En kendt aktør
Cl0p-netværket er velkendt i cybersikkerhedskredse og stod i 2023 bag det omfattende MOVEit-angreb, hvor hundredvis af organisationer fik stjålet eller eksponeret følsomme data. Det drejede sig blandt andet om Shell, British Airways og BBC.
I et sikkerhedsnotat fra juni 2023 beskrev den amerikanske cybersikkerhedsmyndighed CISA Cl0p som ”en af verdens største distributører af phishing og mailspam”, og vurderede, at netværket allerede dengang havde kompromitteret mere end 3.000 organisationer i USA og 8.000 på globalt plan.
Halcyon bekræfter over for Bloomberg, at mindst én af de mailadresser, der anvendes i den aktuelle kampagne, tidligere har været brugt af en aktør med tilknytning til Cl0p.
Derudover indeholder trusselsmailsne kontaktinformationer, der optræder på Cl0ps egen hjemmeside.
Det er endnu uklart, hvor mange virksomheder der er blevet ramt, og hvorvidt nogle af dem har betalt de krævede løsepenge.
Hverken Cl0p selv eller Oracle har besvaret forespørgsler fra medierne.
Ifølge Genevieve Stark, som er chef for cyberkriminalitet i Googles Threat Intelligence Group, begyndte gruppen at sende afpresningsmails omkring den 29. september.
