Security

Kampanye Pemerasan Baru Klaim Curi Data Oracle E-Business Suite

Tim keamanan dari Mandiant (Google Cloud) dan GTIG melaporkan adanya kampanye pemerasan baru yang menargetkan eksekutif perusahaan dengan email ancaman yang mengklaim telah mencuri data sensitif dari sistem Oracle E-Business Suite.

Awal Kampanye

Menurut Genevieve Stark, Head of Cybercrime and Information Operations Intelligence Analysis di GTIG, aktivitas ini dimulai pada atau sebelum 29 September 2025. Namun, klaim dari pelaku masih dalam tahap investigasi awal dan belum dapat dipastikan kebenarannya.

Pola Serangan

  • Email pemerasan dikirim menggunakan ratusan akun email yang sudah dikompromikan.
  • Analisis awal Mandiant menunjukkan setidaknya salah satu akun terkait dengan FIN11, kelompok ancaman finansial yang dikenal menjalankan serangan ransomware dan pemerasan.
  • Alamat kontak dalam email merujuk ke alamat yang juga tercantum di situs kebocoran data Clop ransomware, menandakan kemungkinan keterlibatan grup tersebut.

Meski begitu, Charles Carmakal, CTO Mandiant, menegaskan bahwa belum ada bukti kuat bahwa data benar-benar dicuri.

Rekomendasi untuk Organisasi

Perusahaan yang menerima email ancaman disarankan untuk:

  • Melakukan investigasi internal pada lingkungan IT mereka.
  • Memeriksa potensi akses tidak sah pada platform Oracle E-Business Suite.
  • Meningkatkan pemantauan aktivitas mencurigakan di jaringan dan sistem kritikal.

Siapa Clop?

Kelompok Clop ransomware (juga dikenal sebagai TA505, Cl0p, atau FIN11) aktif sejak 2019 dengan metode:

  1. Menyusup ke jaringan perusahaan.
  2. Mencuri data sensitif.
  3. Mengunci sistem dengan ransomware.
  4. Menggunakan data curian dan enkripsi sebagai leverage pemerasan.

Sejak 2020, Clop lebih banyak mengeksploitasi zero-day vulnerabilities pada platform transfer file, dengan serangan terkenal seperti:

  • 2020: Accellion FTA, berdampak pada hampir 100 organisasi.
  • 2021: SolarWinds Serv-U FTP.
  • 2023: GoAnywhere MFT, menembus lebih dari 100 perusahaan.
  • 2023: MOVEit Transfer, serangan terbesar mereka, mencuri data dari 2.773 organisasi global.
  • 2024: Eksploitasi dua zero-day pada Cleo file transfer (CVE-2024-50623 & CVE-2024-55956).

Hingga kini, Departemen Luar Negeri AS masih menawarkan hadiah $10 juta bagi informasi yang mengaitkan aktivitas Clop dengan pemerintah asing.

Status Terkini

Oracle belum mengonfirmasi adanya kerentanan baru yang dieksploitasi. Mandiant dan GTIG terus memantau perkembangan kasus ini sambil mengumpulkan bukti lebih lanjut.


Sumber: Mandiant, GTIG

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button