Executivos de grandes empresas, incluindo representantes do Google, começaram a receber, a partir de 29 de setembro, e-mails de extorsão que diziam ter em mãos dados sensíveis ligados a sistemas da Oracle usados para gestão financeira e de recursos humanos.
As mensagens, segundo apuração de equipes de segurança, partiram de centenas de contas de e-mail comprometidas — um quadro que autoridades do setor atribuíram ao grupo de inteligência de ameaças do Google. A empresa, por sua vez, afirmou que ainda não conseguiu confirmar se os dados alegadamente roubados foram mesmo exfiltrados.
Em alguns casos os pedidos de resgate chegaram a US$ 50 milhões. Para aumentar a pressão, os atacantes exibiram capturas de tela e estruturas de diretórios como supostas provas. Como pressionavam as vítimas? Mostrando fragmentos que pareciam convencer — pelo menos à primeira vista — de que tinham acesso a sistemas internos.
A análise técnica apontou que os invasores combinaram contas de e-mail comprometidas com a exploração da função padrão de redefinição de senha de portais web do Oracle E-Business Suite expostos à internet. Esse método permitiu a obtenção de credenciais válidas e a entrada em sistemas corporativos. As mensagens também traziam inglês e gramática mal formulados, traço ligado ao grupo Clop.
O Clop já era conhecido por ataques a grandes organizações, frequentemente aproveitando vulnerabilidades zero-day. Em 2023, o grupo foi apontado como responsável pela exploração da falha no MOVEit, que afetou centenas de entidades. Em comunicado técnico daquele ano, a agência de cibersegurança dos EUA (CISA) classificou o grupo como um dos maiores distribuidores de phishing e malspam, estimando o comprometimento de mais de 3 mil organizações nos Estados Unidos e cerca de 8 mil globalmente.
A Oracle não respondeu a pedidos de comentário sobre os incidentes reportados. Enquanto isso, executivos e equipes de segurança seguiram monitorando novas tentativas de extorsão e reforçando controles para proteger dados sensíveis.
Recomendações de segurança
- Reduzir a exposição de portais de redefinição de senha à internet pública;
- Implementar autenticação multifator e revisar políticas de reset de credenciais;
- Monitorar sinais de comprometimento em contas de e-mail e registrar acessos em logs;
- Aplicar correções e mitigações em sistemas críticos;
- Contratar resposta a incidentes especializada quando necessário.
As investigações e o monitoramento por equipes internas e parceiros de segurança continuaram nas semanas seguintes, enquanto as empresas avaliavam o impacto e possíveis medidas legais ou técnicas adicionais.
