Хакеры Clop используют уязвимости Oracle и требуют миллионы
Группировка Clop начала рассылать угрозы выкупа руководству компаний, утверждая, что получила доступ к конфиденциальной информации в Oracle E-Business Suite, а злоумышленники используют уязвимости нулевых дней для одновременного проникновения в десятки организаций. Хакеры отправляют письма с сотен скомпрометированных учетных записей, требуя выплату выкупа за удаление данных, при этом одна из компаний получила требование в размере $50 млн.
По данным Bloomberg и TechCrunch, в конце сентября 2025 года киберпреступники, связанные с группировкой Clop, начали рассылать угрозы выкупа руководству крупных компаний. В письмах утверждается, что злоумышленники получили доступ к конфиденциальной информации, хранящейся в продуктах Oracle E-Business Suite.
Угрозы выкупа и методы проникновения
В письмах, отправленных с сотен скомпрометированных учетных записей, указываются адреса, связанные с сайтом утечек Clop. Это позволяет хакерам оказывать давление на жертв, требуя выплату выкупа за удаление украденных данных. По информации из сообщения, Google начала отслеживать эти атаки 29 сентября, однако подтверждение утверждений злоумышленников пока не получено.
Одной из компаний, столкнувшейся с угрозой, стало предприятие, которому потребовали $50 млн. Об этом сообщила компания Halcyon, специализирующаяся на противодействии выкупному ПО. В письмах злоумышленники обращались к руководителям ИТ-отделов и топ-менеджменту.
Уязвимости Oracle и масштабы угрозы
Группировка Clop известна использованием нулевых дней — уязвимостей, о которых разработчики не знают. Через такие дыры хакеры одновременно проникают в десятки компаний, что позволяет им собирать данные, затрагивающие десятки миллионов человек.
Oracle E-Business Suite — это набор решений, предназначенных для управления базами клиентов, персоналом и кадровыми файлами. По данным компании, продукт используется тысячами организаций по всему миру. Однако злоумышленники воспользовались функцией сброса пароля по умолчанию и получили доступ к веб-порталам, доступным в интернете.
Как защитить данные и минимизировать риски
Анализ показывает, что атаки такого типа требуют оперативного реагирования. Для минимизации рисков ключевым шагом становится аудит доступа к системам, проверка политик сброса паролей и мониторинг подозрительной активности в учетных записях. Важно также регулярно обновлять ИТ-инфраструктуру и использовать многофакторную аутентификацию.
Интересно: Каковы шансы крупных компаний защитить себя от атак, использующих нулевые дни? Возможно ли снизить уязвимости Oracle E-Business Suite без серьезных затрат?
Кибератаки Clop: за кем охотятся и как бизнесу выжить в эпоху нулевых дней
Уязвимости, которые никто не заметил
Группировка Clop не просто атакует — она ищет слабые места в архитектуре корпоративных систем, где даже крупные компании могут оказаться беспомощны. Oracle E-Business Suite — это не просто набор программ, это нервная система многих организаций: от управления персоналом до хранения клиентских данных. И если в этой системе есть уязвимость, это не просто риск для ИТ-отдела, а угроза всей бизнес-модели.
Злоумышленники воспользовались функцией сброса пароля по умолчанию — простым, но критичным элементом, который редко проверяют при аудите. Это позволяет им масштабировать атаки: один уязвимый сайт — десятки компрометированных учетных записей — тысячи утекших данных. Такие атаки не случайны, а систематические, что делает их особенно опасными для бизнеса, где скорость реагирования — это вопрос выживания.
К чему это ведет? Даже если компания платит выкуп, она теряет контроль над своими данными, а значит — репутацию, доверие клиентов и, возможно, доступ к рынкам, где конфиденциальность — это не просто требование, а основа конкурентоспособности.
Скрытые мотивы и неочевидные последствия
Хотя Clop позиционирует себя как «просто» киберпреступники, на самом деле они работают как стратегические игроки, которые используют уязвимости не только для финансовой выгоды, но и для давления на бизнес. Рассылка угроз с сотен учетных записей — это не случайность, а часть более широкой тактики: создать эффект паники, чтобы заставить компании действовать необдуманно, например, платить выкуп, не проверяя, насколько реально утекли данные.
Такие атаки создают эффект «домино»: если одна компания падает, это демонстрирует слабость всей отрасли. Это особенно опасно для российских организаций, где внедрение многофакторной аутентификации и регулярного аудита доступа до сих пор не стало стандартом. В условиях, когда даже крупные западные компании не успевают реагировать, местные игроки рискуют оказаться в зоне повышенной уязвимости.
Тренд: Киберпреступники всё чаще используют страх и панику как инструмент давления. Это меняет правила игры: защита данных перестаёт быть технической задачей и становится частью стратегического управления рисками.
Новые векторы угроз: маскировка и масштабирование
Новые данные из недавних инцидентов демонстрируют, что атакующие всё чаще скрываются в доверенных форматах и инструментах. Во втором квартале 2025 года злоумышленники активно использовали встроенные инструменты операционных систем и повседневные форматы файлов, такие как ZIP, PDF, SVG и CHM, для распространения вредоносного ПО. Атаки происходили через поддельные документы, письма-закладки и устаревшие форматы, позволяя злоумышленникам минимизировать вероятность обнаружения и обеспечивать удалённый доступ к инфраструктуре жертв.
Такие методы маскировки особенно опасны для корпоративных систем, где сотрудники часто не подозревают, что обычный архив или изображение может содержать вредоносный код. Это подтверждает важность регулярного обучения персонала и внедрения политик, ограничивающих запуск файлов из непроверенных источников.
Ключевая уязвимость: Слабые пароли, устаревшее оборудование и недостаточная осведомлённость сотрудников остаются главными причинами утечек данных, особенно в юридических и государственных организациях.
Что делать, если у вас нет миллионов на защиту?
Для многих компаний, особенно малых и средних, $50 млн — это не сумма для переговоров, а просто реальность, которую невозможно изменить. Но есть способы снизить риски без значительных инвестиций. Например, регулярный аудит доступа, автоматизация мониторинга подозрительной активности и ограничение прав пользователей до минимально необходимых — все это может снизить вероятность компрометации.
Еще один ключевой шаг — это создание культуры кибербезопасности, где каждый сотрудник понимает, что он — часть системы. Это особенно важно в организациях, где ИТ-отдел не является центральной фигурой, а работает в тени. В таких случаях атака может пройти незамеченной, пока не станет слишком поздно.
Обратите внимание: Защита от нулевых дней невозможна без постоянного обновления ПО и сотрудничества с вендорами. Это требует не только ресурсов, но и стратегического мышления.
