EUA: Dezenas de empresas tiveram seus dados roubados devido à vulnerabilidade da Oracle

Especialistas em segurança cibernética do Google acabam de alertar sobre uma campanha de ataque em larga escala realizada pelo grupo de hackers Clop, visando o software Oracle E-Business Suite, levando ao roubo de dados de dezenas de organizações.

Isso é visto como o primeiro sinal de que o alcance da campanha pode se espalhar globalmente.

Segundo o Google, o grupo Clop aproveitou uma vulnerabilidade de segurança grave (dia zero) no Oracle E-Business Suite, uma plataforma de software empresarial usada para gerenciar dados de clientes, finanças e recursos humanos...

A Oracle foi forçada a lançar um patch de emergência para interromper a exploração em andamento.

Essa vulnerabilidade, identificada como CVE-2025-61882, tem uma pontuação de gravidade de 9,8/10 e permite que invasores executem código remoto sem autenticação, apenas acessando via protocolo HTTP.

Uma vez explorado com sucesso, o hacker pode obter controle total do Processamento Simultâneo do sistema Oracle E-Business Suite.

Segundo analistas, a campanha de ataque começou em 10 de julho de 2025, três meses antes das primeiras organizações detectarem sinais de intrusão no início de outubro.

Executivos de diversas empresas americanas receberam e-mails de resgate nos quais hackers alegavam estar de posse de arquivos de dados confidenciais roubados de seus sistemas.

O Google disse que o grupo Clop foi o principal mentor da campanha, que esteve por trás de uma série de ataques de ransomware em larga escala que exploraram vulnerabilidades de dia zero em ferramentas de transferência de arquivos como MOVEit, Cleo e GoAnywhere.

Vários indicadores técnicos também sugerem uma ligação entre esta campanha e o grupo FIN11, um sindicato do crime cibernético com motivação financeira, juntamente com o Scattered Lapsus$ Hunters.

Charles Carmakal, CTO da Mandiant-Google Cloud, confirmou que os e-mails de resgate foram enviados de centenas de contas de e-mail comprometidas, incluindo pelo menos uma conta anteriormente associada à atividade do FIN11.

Inicialmente, o diretor de segurança da Oracle, Rob Duhart, publicou um aviso alegando que as vulnerabilidades haviam sido corrigidas em julho, o que implicava que os ataques haviam terminado, mas o aviso foi removido posteriormente.

Poucos dias depois, a Oracle foi forçada a admitir que hackers ainda estavam explorando seu software para roubar dados pessoais e documentos corporativos. A Oracle lançou imediatamente um novo patch de emergência, confirmando a existência do dia zero.

O Google publicou endereços de e-mail, indicadores de comprometimento (IoCs) e orientações técnicas para ajudar profissionais de segurança cibernética a verificar se seus sistemas Oracle foram comprometidos.

A Oracle insiste que os dados de pagamento dos clientes não foram afetados, mas especialistas alertam que dados pessoais e informações operacionais podem ter vazado.

Especialistas em segurança recomendam que as empresas atualizem imediatamente o patch mais recente do Oracle E-Business Suite; monitorem os logs de acesso HTTP e atividades incomuns relacionadas ao Processamento Simultâneo, bem como realizem uma auditoria forense se suspeitarem de uma intrusão.

Esta campanha de ataque mostra mais uma vez o risco crescente de vulnerabilidades de dia zero em softwares corporativos e enfatiza a necessidade de aplicação rápida de patches e monitoramento proativo no contexto de crimes cibernéticos cada vez mais sofisticados.

Fonte: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp