Clop-linked crims shake down Oracle with data theft claims

与Clop勒索软件团伙有关的犯罪分子正在向Oracle高管发送勒索邮件，声称已从该公司的E-Business Suite窃取敏感数据。根据研究人员的说法，谷歌威胁情报小组(GTIG)和Mandiant正在追踪这起"高频率"活动，该活动始于上个月，目前正在调查攻击者的声称是否属实。

GTIG网络犯罪和信息行动情报分析主管Genevieve Stark在向The Register发表的声明中表示：“此活动始于2025年9月29日或之前，但Mandiant的专家仍处于多项调查的早期阶段，尚未证实该组织的声称。”

根据谷歌分析师的判断，这次活动似乎是与Clop勒索软件团伙有潜在联系的网络犯罪分子所为。Clop有着长期针对企业软件供应商和利用高价值平台的历史，最著名的是在2023年的MOVEit文件传输攻击期间，影响了全球数千个组织。

然而，与之前Clop相关的操作不同，当前活动仅限于基于电子邮件的勒索尝试，没有任何公开数据发布来支持犯罪分子的主张。

Mandiant首席技术官Charles Carmakal告诉The Register，恶意电子邮件中使用的两个特定联系地址公开列在Clop的暗网泄露网站上。他补充说：“此举强烈表明与Clop存在某种关联，他们正在利用品牌知名度进行当前操作。”

谷歌和Mandiant尚未发现Oracle E-Business Suite存在漏洞或被入侵的证据，这是一个广泛使用的企业资源规划(ERP)平台，用于管理财务、人力资源和供应链运营。缺乏证据引发了疑问：勒索者是否真的获取了客户数据，或者这只是利用Oracle名义恐吓高管付款的机会主义骗局。

Oracle尚未对The Register的询问作出回应。这家数据库巨头长期以来一直是犯罪分子的目标，因为其在企业IT环境中的深厚根基，其E-Business Suite包含企业处理的一些最敏感数据。如果攻击者的声称属实，可能意味着他们能够访问一些世界最大公司的工资记录、合同和财务数据。

目前，这些指控仍未得到证实，Carmakal警告称，提及知名供应商名称是勒索中常用的策略。通过声称能够访问像Oracle ERP这样核心的系统，攻击者增加了对企业董事会和CISO的压力，无论他们是否真的掌握了数据。

对Mandiant和GTIG来说，目前的工作是帮助组织确定是否真的发生了数据泄露。与此同时，收到这些电子邮件的高管们陷入了两难境地：既要认真对待威胁进行调查，又不能给可能只是虚张声势的勒索者提供关注或资金。

无论Clop（或Clop的模仿者）是否真的入侵了Oracle的核心系统，这一策略都突显了暴露恐惧仍然是网络犯罪分子武器库中最强大的武器之一。