Siber güvenlik uzmanları, meşhur CL0P fidye yazılımı çetesi ile bağların, Oracle’ın e-iş süitinden çalındığı iddia edilen verileri ortaya çıkarmakla tehdit eden e-postalarla bombardıman ediyorlar- finans ve İK gibi temel iş işlevlerini yönetmek için yaygın olarak kullanılan bir sistem.
29 Eylül 2025 tarihinde veya daha önce başlayan etkinlik, Mantiant ve Google Tehdit İstihbarat Grubu’ndaki (GTIG) güvenlik ekipleri tarafından acil araştırmaları tetikledi. Birçoğu Oracle E-Business Suite’i kullanan hedeflenen kuruluşlar, iddialara yanıt vermek için baskı altındadır.
Noktaları bağlamak
Hackread.com ile görüşlerini paylaşan Maniant’ın (bir Google Cloud Company) baş teknoloji sorumlusu Charles Carmakal’a göre, saldırı daha önce hacklenen yüzlerce üçüncü taraf e-posta hesaplarından gönderilen büyük, “yüksek hacimli” e-posta kampanyasını içeriyor.
Mantiant’ın ilk kontrolleri, bu hesaplardan en az birinin fidye yazılımını dağıttığı ve şantajla uğraştığı bilinen iyi kurulmuş bir suç grubu olan FIN11 tarafından kullanıldığını göstermektedir.
Görünüşe göre bu grubun, 2.300’den fazla organizasyonu etkileyen 2023 Moveit kampanyası gibi son derece başarılı, büyük ölçekli saldırılarla bilinen meşhur finansal olarak motive olmuş bir siber suç grubu olan CL0P’nin güçlü itibarından yararlanmaya çalışıyor.
Şimdiye kadar yapılan soruşturmalar, gasp e-postalarında sağlanan iki özel iletişim adresi, CL0P veri sızıntı sitesinde kamuya açık olanlarla eşleşiyor. Carmakal, bunun CL0P ile bir ilişki önerdiğini veya aktörlerin ismi daha fazla kaldıraç için kullandığını belirtti.
“Gasp notlarında sağlanan iletişim adresleri ([email protected] Ve [email protected]) resmi klop veri sızıntı sitesinde kamuya açık olarak listelenenlerdir ”diyor Google Tehdit İstihbarat Grubu’nun ana tehdit analisti Austin Larsen.
GTIG’de siber suç istihbarat analizine öncülük eden Genevieve Stark, Hackread.com’a “şu anda bu iddiaların doğruluğunu kesin olarak değerlendirmek için yeterli kanıtlara sahip olmadıklarını” söyledi. Siber suçlular genellikle kurbanların ödeme baskısını arttırmak için yerleşik grupları taklit ettikleri için bunun mümkün olabileceğini de sözlerine ekledi.
Maniant araştırmacıları şu anda etkilenen kuruluşların Oracle ortamlarında birden fazla kontrol yapıyorlar, ancak henüz başarılı bir veri ihlali iddialarını doğrulamamışlardır. Şimdiye kadarki tek açık göstergeler, gasp e-postaları ve CL0P ile ilişkili e-posta adreslerinin kullanımıdır.
Bu tehdit edici e -postalar belirli bir fidye miktarı istemez, bunun yerine şirket yöneticilerini ödeme görüşmelerini başlatmak için tehdit grubuyla iletişim kurmaya iter.
CL0P grubunun henüz herhangi bir veri yayınlamadığını veya kampanyayı resmi sızıntı sitelerinde kabul etmediğini belirtmek gerekir. Şirketlerin sistemlerini uzlaşma belirtileri açısından dikkatlice kontrol etmeleri tavsiye edilirken, bilgisayar korsanlarının iddialarının özgünlüğü doğrulanmamıştır.
Oracle farkında
Öte yandan Oracle sorunun farkındadır. Bir güvenlik danışmanında, şirketin baş güvenlik görevlisi Rob Duhart, “Oracle, bazı Oracle E-Business Suite (EBS) müşterilerinin gasp e-postaları aldığını fark ediyor. Devam eden araştırmamız, Temmuz 2025 kritik yama güncellemesinde ele alınan daha önce tanımlanmış güvenlik açıklarının potansiyel olarak kullanıldığını buldu.”
Bu gelişmekte olan bir hikaye; Hackread.com en son güncellemeler ortaya çıktıkça okuyucularını güncelleyecektir.