Google Mandiant Investiga Nova Onda de Extorsão Oracle Possivelmente Ligada ao Ransomware Cl0p

A Google Mandiant e o Google Threat Intelligence Group (GTIG) estão investigando uma nova atividade maliciosa possivelmente associada ao grupo de ransomware Cl0p. A campanha envolve o envio de e-mails de extorsão para executivos de diversas organizações, alegando ter roubado dados sensíveis de seus sistemas Oracle E-Business Suite.

A atividade começou em ou antes de 29 de setembro de 2025, mas as investigações ainda estão em estágios iniciais e as alegações do grupo ainda não foram confirmadas. Charles Carmakal, CTO da Mandiant, descreveu a operação como uma "campanha de e-mail de alto volume" lançada a partir de centenas de contas comprometidas.

Evidências sugerem que pelo menos uma dessas contas foi previamente associada ao grupo FIN11, um subgrupo do TA505. Os e-mails maliciosos contêm informações de contato que também aparecem publicamente no site de vazamento de dados do Cl0p, indicando uma possível associação com o grupo.

Embora haja semelhanças táticas com ataques anteriores do Cl0p, a Google ainda não tem evidências suficientes para confirmar os vínculos. Acredita-se que os atacantes tenham comprometido e-mails de usuários e abusado da função de redefinição de senha padrão para obter credenciais válidas de portais Oracle E-Business Suite voltados para a internet.

O grupo Cl0p tem sido responsável por várias ondas de ataques nos últimos anos, explorando vulnerabilidades zero-day em plataformas como Accellion FTA, SolarWinds Serv-U FTP, Fortra GoAnywhere MFT e Progress MOVEit Transfer.