Ένα από τα πιο διαβόητα δίκτυα κυβερνοεκβιαστών επέστρεψε δυναμικά, στοχεύοντας αυτή τη φορά κρίσιμα επιχειρησιακά συστήματα. Ο λόγος για το ransomware group, που φέρεται να συνδέεται με το εγκληματικό δίκτυο C10p, ξεκίνησε νέα εκστρατεία παραβιάσεων και εκβιασμών, ισχυριζόμενο ότι απέσπασε δεδομένα από τις εφαρμογές Oracle E-Business Suite. Πρόκειται για λογισμικό που χρησιμοποιείται από μεγάλες επιχειρήσεις διεθνώς για τη διαχείριση κρίσιμων λειτουργιών.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας Halcyon, σε μία από τις περιπτώσεις οι χάκερς απαίτησαν λύτρα ύψους έως και 50 εκατομμυρίων δολαρίων. Για να ενισχύσουν την αξιοπιστία των απειλών τους, έστειλαν στους στόχους αποδεικτικά στοιχεία παραβίασης, όπως screenshots και file trees. Η Σύνθια Κάιζερ, αντιπρόεδρος του ερευνητικού κέντρου ransomware της Halcyon, δήλωσε χαρακτηριστικά: «Έχουμε δει το C10p να απαιτεί επταψήφια και οκταψήφια ποσά λύτρων τις τελευταίες ημέρες».
Η μεθοδολογία των επιθέσεων φαίνεται να ακολουθεί το γνωστό μοτίβο της ομάδας. Στοιχεία της Google Threat Intelligence Group, αποκαλύπτουν ότι από τις 29 Σεπτεμβρίου στάλθηκαν εκατοντάδες εκβιαστικά emails μέσω παραβιασμένων third-party accounts. Οι χάκερς εκμεταλλεύτηκαν είτε παραβίαση στη διαδικασία επαναφοράς κωδικού είτε συγκεκριμένη ευπάθεια στο Oracle E-Business Suite, έτσι ώστε να αποκτήσουν έγκυρα credentials. Τα emails χαρακτηρίζονται από κακογραμμένα αγγλικά, στοιχείο που ταιριάζει στο modus operandi του C10p, ενώ τουλάχιστον μία επιχείρηση έχει ήδη επιβεβαιώσει την κλοπή δεδομένων από τα Oracle συστήματά της.
Το ιστορικό της ομάδας ενισχύει τη σοβαρότητα των καταγγελιών. Το C10p, με μακρά δράση στον χώρο των κυβερνοεγκλημάτων, το 2023 κατηγορήθηκε για την εκμετάλλευση του MOVEit file-transfer system. Στις επιθέσεις εκείνες συγκαταλέγονταν θύματα-κολοσσοί όπως η Shell, η British Airways και το BBC. Η αμερικανική υπηρεσία CISA είχε χαρακτηρίσει το δίκτυο ως «έναν από τους μεγαλύτερους διανομείς phishing και malspam παγκοσμίως», εκτιμώντας ότι είχε στοχοποιήσει περισσότερους από 8.000 οργανισμούς σε διεθνές επίπεδο.
Μέχρι στιγμής, η Oracle δεν έχει προβεί σε καμία δημόσια τοποθέτηση σχετικά με τις νέες επιθέσεις, ειδικοί της κυβερνοασφάλειας όμως προειδοποιούν ότι η εξέλιξη αυτή επιβεβαιώνει την αυξανόμενη εξάρτηση των εκβιαστικών κυκλωμάτων από τη στρατηγική στοχευμένων παραβιάσεων σε κρίσιμες επιχειρησιακές πλατφόρμες.
