01.10.2025
1 хв
559
У вересні компанії по всьому світу почали отримувати масові листи від імені угруповання Clop, які містили погрози та заяви про крадіжку даних з Oracle E-Business Suite. Хоча докази ще не підтверджені, інцидент викликав серйозне занепокоєння в експертів із кібербезпеки.
За даними Mandiant та Google GTIG, кампанія стартувала 29 вересня 2025 року. Листи розсилалися з сотень скомпрометованих акаунтів, що дозволило уникнути блокувань на ранніх етапах. У деяких випадках адреси збігалися з контактами, опублікованими на сайті витоків Clop. Чарльз Кармакал, технічний директор Mandiant, зазначив, що один з акаунтів уже був пов’язаний із діяльністю групи FIN11, відомої своїми програмами-вимагачами. Попри схожість тактики, експерти поки що не підтвердили фактичну крадіжку даних із Oracle-систем.
Mandiant та GTIG рекомендують компаніям, які отримали такі листи, перевірити свої середовища Oracle E-Business Suite на предмет незвичного доступу та ознак компрометації.
Clop (TA505, FIN11) діє з 2019 року та спеціалізується на атаках на великі корпоративні мережі. Їхній підхід — викрадення даних перед шифруванням систем, щоб змусити компанії платити двічі: за дешифратор і за «мовчання».
Найвідоміші атаки Clop:
2020 — zero-day в Accellion FTA, ~100 жертв.
2021 — атака через SolarWinds Serv-U.
2023 — експлуатація GoAnywhere MFT, понад 100 компаній.
2023 MOVEit Transfer — масштабна кампанія, понад 2 700 організацій.
2024 — подвійний zero-day у Cleo.
США оголосили винагороду 10 млн $ за підтвердження зв’язку Clop із державними структурами.
Попри те, що факт крадіжки даних поки не доведено, хвиля листів із шантажем демонструє готовність Clop до нових масштабних атак. Компаніям необхідно діяти на випередження: перевіряти інфраструктуру Oracle, посилювати моніторинг і тренувати персонал. Будь-яка недбалість може коштувати дорого.
