Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı
Clop Ransomware Group’un Oracle E-Business Suite Ürünlerinin Tam Kapsamı Hala Gelişmekte
Mathew J. Schwartz (euroinfosec) •
23 Aralık 2025
Rusça konuşan bir fidye yazılımı çetesinin Oracle E-Business Suite yazılımına yaptığı toplu saldırının etkileri ABD genelinde hissedilmeye devam ediyor; kâr amacı güden Phoenix Üniversitesi de giderek büyüyen kurbanlar listesine kendisini ekliyor.
Özel öğrenim kurumu, 3,5 milyon mevcut ve eski öğrenciye, çalışana, öğretim üyesine ve tedarikçiye, saldırıda kişisel bilgilerinin ele geçirildiğini bildirecek. Phoenix Üniversitesi Kasım ayında tespit ettiği ihlalin Ağustos ayında meydana geldiğini söyledi.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Açıklamada, “Oracle E-Business Suite yazılımındaki bir güvenlik açığının bir siber güvenlik olayına yol açmış olabileceği” ilk kez 21 Kasım’da öğrenildiği belirtiliyor. 24 Kasım’da, 13 Ağustos ile 22 Ağustos arasında “yetkisiz bir üçüncü tarafın, Üniversitenin Oracle EBS ortamındaki belirli verilere sızmak için Oracle EBS’deki önceden bilinmeyen bir yazılım güvenlik açığından yararlandığını” doğruladılar.
Ele geçirilen veriler arasında bireylerin adı, doğum tarihi, Sosyal Güvenlik numarası, banka hesabı ve yönlendirme numaraları yer alıyor. Phoenix Üniversitesi halkla ilişkilerden sorumlu başkan yardımcısı Andrea Smiley, Information Security Media Group’a “Etkilenen verileri inceliyoruz ve etkilenen bireylere ve düzenleyici kurumlara gerekli bildirimleri sağlayacağız” dedi.
Kurum, saldırıyı herhangi bir kişi veya kuruluşla ilişkilendirmedi ancak fidye yazılımı grubu Clop, diğer adıyla Cl0p, veri sızıntısı blogunda Phoenix Üniversitesi’ni ödeme yapmayan kurbanlar arasında listeledi. Kampanyadan etkilenen diğer üniversiteler arasında Harvard ve Tulane’nin yanı sıra Güney Afrika’daki Witwatersrand Üniversitesi de yer alıyor.
Clop’un kampanyasının kurbanları ve bunun sonucunda ortaya çıkan verilerin açığa çıkmasıyla ilgili ayrıntılar gün ışığına çıkmaya devam ediyor. Geçtiğimiz hafta, Tennessee merkezli otomotiv parça ve hizmet devi LKQ, Oracle EBS yazılımına yönelik 9 Ağustos’ta gerçekleştiği anlaşılan ve 3 Ekim’de tespit ettiği bir saldırının kurbanı olduğunu açıkladı.
LKQ, ihlalin, İşveren Kimlik Numarası veya Sosyal Güvenlik numarası da dahil olmak üzere LKQ’nun 9.070 tek sahibi tedarikçisine ait verilerin çalınmasıyla sonuçlandığını söyledi.
Clop, LKQ’nun ihlalinin sorumluluğunu üstlendi, tıpkı ona fidye ödemeyi reddeden düzinelerce başka kuruluşta da olduğu gibi. Kaç kurbanın taleplerini kabul edip fidye ödediği hala açık bir soru.
Clop’un Oracle EBS hedefleme kampanyasının diğer bilinen kurbanları arasında tıbbi cihaz üreticisi Abbott, American Airlines yan kuruluşu Envoy Air, teknoloji devleri Broadcom ve Cox Enterprises, Fransız devi Schneider Electric, Britanya Ulusal Sağlık Hizmeti ve Oracle’ın kendisi yer alıyor.
Clop’un Kampanyaları
Araştırmacıların TA505, FIN11 ve Graceful Spider olarak da takip ettiği Clop’un, genellikle yaygın olarak kullanılan tek bir yazılım türünde bir veya daha fazla sıfır gün güvenlik açığını hedefleyerek çok sayıda kurbandan aynı anda hızlı bir şekilde veri çalma geçmişi var.
Güvenlik araştırmacıları, Clop begin’i hala bir fidye yazılımı grubu olarak sınıflandırıyor, ancak grubun kripto kilitleyici kötü amaçlı yazılım kullanmak yerine tedarik zinciri saldırılarında uzmanlaştığını ve genellikle çok sayıda kullanıcıdan aynı anda veri çalmak için güvenli yönetilen dosya aktarım yazılımına odaklandığını söylüyorlar. Geçmiş kampanyalar arasında 2020 sonlarından 2021 başlarına kadar Accellion FTA hack’leri, 2023’ün başlarında GoAnywhere Yönetilen Dosya Aktarımı yazılımı, 2023’ün ortalarında Progress Software’in MOVEit ve Cleo Communications’ın Harmony’si ve 2024’ün sonlarında VLTrader ve LexiCom MFT yazılımı yer alıyor.
Clop’un Oracle EBS kullanıcılarını hedef alan kampanyasının ilk işaretleri, 29 Eylül’de, gruba bağlı olduklarını iddia eden kişilerin kurban kuruluşlara, 50 milyon dolara kadar kripto para birimi fidyesini ödemedikleri takdirde çalınan verileri sızdırmakla tehdit ederek şantaj notlarını e-postayla göndermeye başlamasıyla ortaya çıktı.
Deneme, kapsamlı hazırlık ve planlamanın işaretlerini gösterdi. Tehdit istihbarat firması Resecurity, Clop’un veri sızıntısı sitesinde yayınlanan bilgiye göre “E-postalar, ele geçirilen iş e-posta hesaplarından veya yeni kayıtlı hesaplardan gönderildi ancak fidye yazılımı operatörleriyle gerçek iletişim noktaları içeriyordu” dedi.
Google’daki tehdit araştırmacıları, e-posta hesaplarının kimlik bilgilerinin “muhtemelen yer altı forumlarında satılan bilgi hırsızlığı yapan kötü amaçlı yazılım günlüklerinden kaynaklandığını” söyledi.
Daha sonra, Clop’un ilk EBS hedefleme saldırılarının 10 Temmuz’da başlamış olabileceğine ve “bazı durumlarda tehdit aktörünün etkilenen kuruluşlardan önemli miktarda veriyi başarıyla sızdırdığına” ve potansiyel olarak 100’den fazla veriye ulaştığına dair işaretler buldular.
Oracle başlangıçta EBS’nin tamamen yamalanmış sürümünü çalıştıran kuruluşların risk altında olmadığını söyledi. Ancak teknoloji devi rotayı tersine çevirerek CVE-2025-61882 olarak takip edilen sıfır gün güvenlik açığının bir saldırı zincirinin parçası olduğunu kabul etti. CVE-2025-61884 olarak izlenen ikinci bir sıfır gün güvenlik açığı da dahil olmak üzere acil durum yamaları yayınladı ve tüm kullanıcıları derhal güncelleme yapmaya çağırdı.
Güvenlik uzmanları, saldırganların halihazırda erişim elde etmediğinden ve daha sonra yeniden erişim elde etmek için başka araçlar kullanmadığından emin olmak için tüm Oracle EBS kullanıcılarının izinsiz giriş işaretlerini araştırması gerektiğini söyledi.
Siber güvenlik firması VulnCheck’in güvenlik araştırmalarından sorumlu başkan yardımcısı Caitlin Condon, Information Security Media Group’a verdiği demeçte, önceki Clop saldırılarının, grubun coğrafyalar ve sektörler genelinde çok sayıda kuruluşu hedeflemeye öncelik verdiğini gösterdiğini gösterdi.
Condon, “Oracle EBS saldırısı da aynı modeli izlemiş gibi görünüyor; Clop kurbanlarının sağlık hizmetleri, imalat, finans ve profesyonel hizmetler, yüksek öğrenim, BT yazılımı ve daha birçok alanda küresel kuruluşlara yayıldığı iddia ediliyor.” dedi.