Il colosso tecnologico Oracle si trova ad affrontare una delle campagne di estorsione più aggressive degli ultimi tempi, con hacker che stanno prendendo di mira specificamente i clienti aziendali che utilizzano la suite E-Business dell'azienda. L'attacco riguarda numerose aziende in tutto il mondo.
Come spesso accade, gli attacchi stanno sfruttando falle che Oracle ha già corretto da tempo, ma il mancato aggiornamento dei sistemi ha lasciato aperte le vulnerabilità. La campagna di attacchi ransomware si è intensificata nelle ultime settimane, con una raffica di email di estorsione inviate direttamente ai dirigenti delle aziende colpite.
Rob Duhart, responsabile della sicurezza informatica di Oracle, ha confermato pubblicamente che l'azienda è "a conoscenza" delle email di estorsione ricevute dai clienti, esortandoli ad applicare immediatamente gli aggiornamenti di sicurezza più recenti. La dichiarazione ufficiale arriva dopo che giovedì l'azienda ha informato i propri dipendenti della scoperta dello sfruttamento di queste falle già note.
Le cifre richieste dai criminali informatici raggiungono proporzioni astronomiche, con riscatti che in almeno un caso documentato hanno toccato i 50 milioni di dollari. Secondo l'analisi condotta da Halcyon, società specializzata in sicurezza informatica che sta gestendo diversi casi legati a questa campagna, gli attacchi mostrano un livello di sofisticazione e coordinamento che suggerisce un'organizzazione criminale ben strutturata.
Il gruppo di hacker responsabile degli attacchi sostiene di essere collegato a Cl0p, una delle organizzazioni criminali più temute nel panorama del ransomware internazionale. Questa affiliazione, se confermata, aggiungerebbe un elemento di particolare gravità alla situazione, considerando il curriculum criminale del gruppo.
La reputazione di Cl0p nel mondo della criminalità informatica è ben consolidata: l'Agenzia per la Sicurezza Informatica e delle Infrastrutture degli Stati Uniti ha definito nel 2023 questo gruppo come "uno dei maggiori distributori mondiali di phishing e malspam". I numeri forniti dalle autorità americane sono impressionanti: circa 8.000 aziende compromesse, a livello globale.
La campagna attuale contro i clienti Oracle, in particolare, sembra puntare direttamente sullo sfruttamento di vulnerabilità applicative piuttosto che sulla distribuzione massiva di software malevolo.
Il problema è sempre lo stesso, da molti anni ormai: i sistemi non aggiornati sono molto vulnerabili, ma molte aziende e molti CTO preferiscono rinviare gli aggiornamenti. Le possibili ragioni sono più di una, e vanno dalla compatibilità con software legacy fino al bisogno di verificare possibili problemi di produttività. Quali che siano, però, ogni giorno con un sistema non aggiornato è un giorno in cui si rischia grosso.
Sopratutto quando la vulnerabilità è nota e la correzione esiste. Perché in questi casi i criminali sanno benissimo che il buco c'è e cercano di sfruttarlo attivamente. Oracle aveva pubblicato un avviso critico già a luglio, classificando le vulnerabilità come particolarmente pericolose e sollecitando un intervento immediato da parte dei clienti. Nonostante questi avvertimenti, molte organizzazioni hanno evidentemente procrastinato l'implementazione degli aggiornamenti, creando le condizioni ideali per l'attacco coordinato.
L'E-Business Suite di Oracle gestisce funzioni aziendali cruciali per migliaia di organizzazioni in tutto il mondo, dalla gestione finanziaria alla supply chain, fino ai sistemi di customer relationship management. La compromissione di questi sistemi può avere conseguenze devastanti per le operazioni quotidiane delle aziende colpite, rendendo particolarmente allettante il ricorso al pagamento dei riscatti richiesti.