מאות ארגונים קיבלו הודעת סחיטה; אורקל: "תעדכנו את המערכת"

תמונה: Dreamstime

מנהלים בכירים בעשרות ארגונים ברחבי העולם החלו לקבל בשבוע החולף מיילים מאיימים שנשלחו מחשבונות פרוצים. הטקסט באנגלית עילגת, הטון תקיף, והדרישות ברורות: קבוצת הכופרה Clop טוענת שפרצה למערכות Oracle E-Business Suite (EBS), גנבה מידע רגיש, ודורשת כופר תמורת אי פרסום המידע.

במיילים נטען שהקבוצה העתיקה "מסמכים רבים", בהם קבצים פרטיים ונתונים עסקיים רגישים. לצד האיום, מופיעה הצעה לבדיקת מהימנות: כל קורבן יכול לבחור שלושה קבצים או שורות מידע כדי לוודא שאכן מדובר בפריצה אמיתית. ההצגה הזו של “proof of hack” נועדה לייצר תחושת חירום וללחוץ על מקבלי ההחלטות.

"אל תדאגו", נכתב במייל אחד, "אפשר תמיד להציל את המידע אם תשלמו. אנחנו לא מחפשים כוח פוליטי ולא מתעניינים באף עסק". הטון הלא פוליטי הזה מלווה את כל מיילי הסחיטה, שנכתבו בסגנון שמנסה לשדר עסקה קרה, נקייה ועסקית, לא אידיאולוגית או אלימה.

הקבוצה אף מבטיחה שקט מוחלט לאחר התשלום: "אנחנו לא רוצים להרוס את העסק שלכם. רק לקחת את הכסף ושלא תשמעו מאיתנו שוב". התוקפים מציינים גם הבטחות למחיקה מאומתת של המידע, ייעוץ טכני, והתחייבות לא לפרסם את המידע לעולם.

לטענת חוקרי Google Threat Intelligence Group, המיילים נשלחו ממאות חשבונות צד שלישי שנפרצו, טקטיקה מוכרת שמסייעת לתוקפים לעקוף מסנני ספאם ולשדר אמינות ראשונית. לרוב, החשבונות הללו נרכשים דרך לוגים של נוזקות InfoStealer בפורומים ברשת האפלה.

בחלק מהמיילים נטען גם שבוצעה "בדיקה מעמיקה של המידע שנגנב", ושהנזק הכספי, הפגיעה במוניטין והקנסות הרגולטוריים שעלולים להגיע – עולים בהרבה על סכום הכופר. בחלק מהמקרים, הדרישה הכספית הגיעה עד ל-50 מיליון דולר.

אורקל מגלגלת את האחריות

מי שלקחה את הזמן עד שהגיבה היא חברת אורקל. התגובה הרשמית של החברה הגיעה בבלוג קצר שפורסם על ידי סמנכ"ל האבטחה של אורקל, רוב דוהארט, בו נכתב כי החברה מודעת לכך שחלק מלקוחות Oracle E-Business Suite קיבלו מיילי סחיטה, וכי ייתכן שהתוקפים ניצלו פרצות שכבר תוקנו בעדכון האבטחה הקריטי של יולי 2025.

אורקל לא סיפקה כל פירוט נוסף. היא לא ציינה אילו חולשות נוצלו בפועל, האם המידע אכן נגנב, כמה ארגונים נפגעו, או האם קבוצת Clop עומדת מאחורי המתקפה.  עדכון האבטחה המדובר ביולי כלל 309 תיקונים, מתוכם תשעה עסקו בליקויים במערכת EBS. שלוש חולשות סווגו כחמורות במיוחד, מסוג שמאפשר גישה מרחוק ללא צורך באימות ושלוש נוספות סווגו כבינוניות.

אלא שלפי חברת Halcyon, המתמחה בניתוח קמפיינים של כופרה, כלל לא בטוח שמדובר בפרצת אבטחה קלאסית. לפי ניתוח שלהם, מדובר בשימוש לרעה בפונקציונליות ברירת מחדל ב-EBS – ובעיקר בשילוב של תצורות שגויות, הזנחה של אימות דו שלבי, והתבססות על חשבונות מקומיים שעוקפים את מנגנוני האבטחה הארגוניים.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

המבנה הבעייתי הזה איפשר לתוקפים, על פי Halcyon, להשתמש במנגנון איפוס הסיסמה כדי להיכנס למערכת עם גישה לגיטימית מבלי להזדקק לפריצות מתוחכמות או ניצול Zero Day.

Halcyon מעריכה כי אלפי ארגונים עשויים להיות חשופים, אך אורקל בחרה לא להתייחס למספרים, לא לספק רשימת אינדיקטורים לזיהוי (IOC), ולא לפרסם ניתוח טכני מסודר של האירועים. במקום זאת, היא הסתפקה באמירה כללית על חשיבות התקנת העדכונים, מהלך שעבור לקוחות ותיקים של אורקל כבר מזמן הפך לתגובה אוטומטית.

בתוך כך, Clop עצמה טרם פרסמה את המידע שנטען שנגנב באתר ההדלפות שלה – דבר שמעיד או על קמפיין שטרם הבשיל, או על ניסיון סחיטה רחב שמבוסס על עמדות פגיעות ולא בהכרח על חדירה עמוקה.