Les chercheurs en sécurité de Google affirment que les pirates ciblant les dirigeants d’entreprise avec des courriels d’extorsion ont volé des données à « des dizaines d’organisations », l’un des premiers signes indiquant que la campagne de piratage pourrait être de grande envergure.
Le géant de la technologie a déclaré jeudi dans un communiqué partagé avec TechCrunch que le gang d’extorsion Clop avait exploité plusieurs vulnérabilités de sécurité dans le logiciel E-Business Suite d’Oracle pour voler des quantités importantes de données aux organisations concernées.
Le logiciel E-Business d’Oracle permet aux entreprises de gérer leurs opérations, comme le stockage de leurs données clients et des dossiers de ressources humaines de leurs employés.
Google a déclaré dans un article de blog correspondant que la campagne de piratage ciblant les clients d’Oracle remontait au moins au 10 juillet, environ trois mois avant la première détection des piratages.
Oracle a reconnu plus tôt cette semaine que les pirates informatiques à l’origine de la campagne d’extorsion continuaient d’abuser de son logiciel pour voler des informations personnelles sur les dirigeants d’entreprises et leurs entreprises. Quelques jours plus tôt, le responsable de la sécurité d’Oracle, Rob Duhart, avait affirmé dans le même message – effacé depuis – que la campagne d’extorsion était liée à des vulnérabilités précédemment identifiées qu’Oracle avait corrigées en juillet, suggérant que les piratages étaient terminés.
Mais dans un avis de sécurité publié ce week-end, Oracle a déclaré que le bug du jour zéro – nommé parce qu’Oracle n’avait pas le temps de le corriger, car il était déjà exploité par des pirates – pouvait être « exploité sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe ».
Le groupe de rançongiciels et d’extorsion Clop, lié à la Russie, s’est fait un nom ces dernières années grâce à ses campagnes de piratage massif, impliquant souvent l’exploitation de vulnérabilités inconnues de l’éditeur de logiciels au moment de leur exploitation, pour voler de grandes quantités de données d’entreprise et de clients. Cela inclut des outils de transfert de fichiers gérés, tels que Cleo, MOVEit et GoAnywhere, que les entreprises utilisent pour envoyer des données d’entreprise sensibles sur Internet.
Le billet de blog de Google comprend des adresses e-mail et d’autres détails techniques que les défenseurs du réseau peuvent utiliser pour rechercher des e-mails d’extorsion et d’autres indications indiquant que leurs systèmes Oracle pourraient avoir été compromis.

