Siber suç, sahtekarlık yönetimi ve siber suç
Fidye talepleri alan yöneticiler 50 milyon dolara kadar, fidye yazılımı uzmanı uyarıyor
Mathew J. Schwartz (Euroinfosec) •
2 Ekim 2025
Dijital gaspçılar, hassas verilerini çaldığını iddia eden Oracle E-Business Suite kullanan kuruluşlarda yöneticileri sallıyorlar, birden fazla siber güvenlik firmalarını uyarıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Google, maniant olay müdahale grubunun, klop – aka CL0P – fidye yazılımı işlemine bağlı olduğunu iddia eden bir grup tarafından “yüksek hacimli e -posta kampanyasını” araştırdığını söyledi. Birçok farklı kuruluşa gönderilen e -postalar, saldırganların Oracle Enterprise uygulamalarından veri çaldığını iddia ediyor.
Oracle hemen yorum talebine yanıt vermedi.
Oracle E-Business Suite, kurumsal kaynak planlaması ve müşteri ilişkileri yönetiminden insan kaynakları ve tedarik zinciri yönetimi yazılımına kadar her şeyi içerir.
Siber güvenlik firması Halcyon, bu kampanyaya da yanıt verdiğini ve saldırganların, kurbanların portallarına erişmek için internete dönük e-iş süitlerinde bir şifre verme özelliği ile birlikte çalıntı kullanıcı kimlik bilgilerini kullandıklarını söyledi.
Halcyon’un Fidye Yazılım Araştırma Merkezi Başkan Yardımcısı Cynthia Kaiser, “Son birkaç gün içinde CL0P’nin son birkaç gün içinde büyük yedi ve sekiz rakamlı fidye talep ettiğini gördük” dedi.
Rusça konuşan, finansal olarak motive olmuş klop grubunu FIN11 ve daha önce UNC4857 olarak izleyen Google’ın Tehdit İstihbarat Grubu için siber suç ve bilgi operasyonları istihbarat analizi başkanı Genevieve Stark’ın bu kampanyanın gasp yönünün Pazartesi günü veya daha önce başladığını söyledi.
Saldırganın Clop ile sözde bir bağlantı da dahil olmak üzere iddialarına rağmen, maniant araştırmacıların “bu grup tarafından yapılan iddiaları henüz doğrulamadığını” söyledi.
Maniant CTO Charles Carmakal, zaten çok sayıda kuruluş, ikisi Clop’a atfedilen önceki kampanyalarda kullanılan yüzlerce uzlaşmış e -posta hesabından e -posta gönderildi.
“Kötü niyetli e-postalar iletişim bilgileri içeriyor ve sağlanan iki özel iletişim adresinin CLOP veri sızıntısı sitesinde de kamuya açıklandığını doğruladık.” Dedi. Diyerek şöyle devam etti: “Bu hareket, Clop ile bir ilişki olduğunu ve mevcut operasyonları için marka tanımasını kullanıyorlar.”
Kanada siber güvenlik firması CYPFER aynı şekilde birden fazla Oracle EBS kullanan kuruluşların gaspçılar tarafından hedeflendiğini gördü. Cypfer’ın baş işletme görevlisi Ed Dubrovsky, “Kuruluşunuz için bu uygulamayı yönetiyorsanız, çevrenin en son yamalara yamalanmasını sağlamaktır, tam denetim/günlüğe kaydetme etkinleştirilir ve izleme mevcuttur.” Dedi.
Doğru atıflar yapmak zor olabilir, siber suçluların kahramanlıklarını nasıl aşırı şişirme geçmişi olduğu ve açık yalanları belirttiği göz önüne alındığında. Birçok suçlu, daha önce çalınan veya kamuoyunda sızan verileri düzenli olarak yeniden paketler ve yeni bir ihlal gerçekleştirdiğini iddia eder. Diğerleri, hassas bir şey olduğu ortaya çıkan verileri çaldığını – ancak yapmadığını – veya çalmadığını iddia ediyor.
Carmakal, “Finansal olarak motive edilen siber suç alanındaki atıf genellikle karmaşıktır ve aktörler, kurbanlar üzerindeki kaldıraç ve baskıyı artırmak için Clop gibi yerleşik grupları sıklıkla taklit ederler.” Dedi.
Saldırganın iddiaları dikkatle ele alınmalı ve araştırmacılar iddiaları kanıtlamak veya reddetmek için henüz yeterli kanıt toplamamışlardır. Ancak hedeflenen kuruluşların derhal “tehdit oyuncusu faaliyeti kanıtı için çevrelerini araştırmasını” önerdi.
Tedarik Zinciri Saldırı Uzmanı
Clop operasyonuna atfedilen saldırılar ilk olarak 2019’da başladı ve daha önce görülen fidye yazılımlarının Cryptomix adlı bir varyantını kullandı.
O zamandan beri, grubun ayırt edici özelliği, yönetilen dosya transfer yazılımında daha önce bilinmeyen kusurları buluyor ve kullanıyor, hızla büyük bir kullanıcı alanından veri çalıyor ve daha sonra onları fidye olarak tutuyor.
2020’nin sonlarından 2021’in başlarına kadar Acccellion FTA kullanıcılarını ve Goanywhere’nin 2023’ün başlarında 100’den fazla kuruluştan ödün vererek dosya transfer yazılımı yönetti. 2023’te Anma Günü boyunca Clop, 2.700’den fazla kurbanı toplayarak Progress Software’in Moveit’i vurdu. 2024’ün sonlarında, Cleo Communications’ın Harmony, Vltrader ve Lexicom MFT yazılımını vurdu ve 380’den fazla bilinen kurbana yol açtı.
Birçok farklı kurbandan veri çalmak, ancak fidye yazılımı dağıtmamak, saldırganlara kripto-kilitli kötü amaçlı yazılımlarla uğraşmadan çabalarından para kazanmanın bir yolunu sunar. Moveit saldırılarında uzmanlar, grubun adlandırılmayacağına dair bir söz için ödeme yapan veya çalınan verileri sızan kurbanlardan 75 milyon dolar ila 100 milyon dolar kazandığını tahmin etti.
Gasp talepleri her zaman hemen değil
Önceki klop kampanyalarında, grup kurbanlara bazen fiili saldırıdan günler veya haftalar sonra, potansiyel olarak “sıfır gün güvenlik açıklarının tespit edilmediği süreyi uzatmak ve böylece kurban sayısını ve/veya çok sayıda mağdurla aynı anda müzakere etme kapasitesini arttırmak için” Google, FIN11 ile ilgili 2023 soruşturmada.
Grup, ödeme yapmayan kurbanları veri sızıntısı sitesinde düzenli olarak listeler. Cleo Communications durumunda, grup, sözde kurbanlarının kimlikleri hakkında ayrıntıları damlattı, bazı durumlarda saldırıdan sonraki haftalar veya aylarca adlandırılmadı. Güvenlik uzmanları, gecikmenin, bireysel kurbanlarla gasp çabalarının sonuçlarını görmeyi bekleyen grubun yanı sıra faaliyetlerinin kötü şöhretini ve kurbanlara karşı kamuoyunun baskısını en üst düzeye çıkarmaya çalıştığını yansıtmış olabileceğini söyledi (bkz: bkz: Vampire Cosplay ve Marka Canlanma: 2025’te Fidye Yazılımı).
Clop’un yaygın olarak kullanılan yönetilen dosya transfer yazılımında sıfır gün güvenlik açıklarını keşfetme ve kullanma yeteneği, grubun fidye gelirinin dikkate değer bir kısmını saldırgan araştırma ve geliştirme çabalarına katıyor.