Mandiant e Google estão acompanhando uma nova campanha de extorsão em que executivos de diversas empresas receberam e-mails alegando que dados sensíveis foram roubados de sistemas Oracle E-Business Suite.
De acordo com Genevieve Stark, chefe da análise de inteligência em operações de cybercrime na GTIG, a campanha teve início no final de setembro de 2025.
“Essa atividade começou em ou antes de 29 de setembro de 2025, mas os especialistas da Mandiant ainda estão nas fases iniciais de várias investigações e não confirmaram as alegações feitas por esse grupo”, afirmou Stark.
Charles Carmakal, CTO da Mandiant – Google Cloud, explicou que os e-mails de extorsão estão sendo enviados a partir de um grande número de contas de e-mail comprometidas.
“Estamos observando uma campanha de envio em alta escala, partindo de centenas de contas comprometidas.
Nossa análise inicial confirma que pelo menos uma dessas contas já esteve associada a atividades do FIN11, um grupo de ameaças com motivação financeira que é conhecido por usar ransomware e extorsão”, detalhou Carmakal.
Mandiant e GTIG informam que os e-mails contêm endereços de contato associados ao site de vazamento de dados do grupo Clop ransomware, o que sugere uma possível relação com essa facção de extorsionários.
Porém, Carmakal ressalta que, apesar das táticas serem semelhantes às campanhas anteriores do Clop e dos endereços indicarem uma conexão potencial, ainda não há provas suficientes para confirmar se dados foram realmente roubados.
As empresas que receberem esses e-mails são recomendadas por Mandiant e GTIG a investigar seus ambientes em busca de acessos incomuns ou sinais de comprometimento em suas plataformas Oracle E-Business Suite.
O site BleepingComputer entrou em contato com o grupo Clop para confirmar se eles estão por trás dessa campanha de extorsão, mas ainda não obteve resposta.
Também contatou a Oracle para verificar se há conhecimento sobre alguma exploração zero-day recente que possa ter ocasionado o roubo de dados.
A operação Clop ransomware, também conhecida pelas siglas TA505, Cl0p e FIN11, começou em março de 2019, quando passou a atacar redes corporativas com uma variante do ransomware CryptoMix.
Semelhante a outros grupos de ransomware, os membros do Clop invadem redes empresariais, roubam dados e depois aplicam ransomware para criptografar sistemas.
Os dados roubados e os arquivos criptografados são usados como moeda de troca para forçar o pagamento de resgates, oferecendo a chave de descriptografia e impedindo a divulgação pública das informações.
Embora o grupo ainda utilize ransomware, desde 2020 o Clop tem focado na exploração de vulnerabilidades zero-day em plataformas de transferência segura de arquivos para roubar dados.
Entre seus ataques mais notórios estão:
- 2020: Exploração de zero-day na plataforma Accellion FTA, afetando quase 100 organizações.
- 2021: Exploração de zero-day no software SolarWinds Serv-U FTP.
- 2023: Exploração de zero-day na plataforma GoAnywhere MFT, com invasão a mais de 100 empresas.
- 2023: Ataque ao MOVEit Transfer, campanha mais abrangente até aqui, com zero-day usado para roubar dados de 2.773 organizações mundialmente.
A mais recente campanha associada ao Clop ocorreu em outubro de 2024, quando os hackers exploraram duas vulnerabilidades zero-day no Cleo file transfer (CVE-2024-50623 e
CVE-2024-55956
) para roubar dados e extorquir empresas.
O Departamento de Estado dos EUA está oferecendo uma recompensa de 10 milhões de dólares pelo programa Rewards for Justice para informações que liguem as atividades de ransomware do Clop a algum governo estrangeiro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...