Najważniejsze informacje z artykułu:
- Grupa cyberprzestępcza znana jako Cl0p wykorzystała podatność zero-day w Oracle E-Business Suite, prowadząc do poważnych wycieków danych w kilkudziesięciu dużych korporacjach. Grupa ransomware domaga się wysokich okupu od największych światowych firm, w tym rzekomo od Broadcom, Estée Lauder, Mazda oraz Canon.
- Podatność zero-day to luka bezpieczeństwa w oprogramowaniu, sprzęcie lub firmware, nieznana dla twórców, a przez to podatna na wykorzystanie przez cyberprzestępców i inne nieupoważnione osoby.
- Do tej pory ponad 100 firm zostało dotkniętych atakami Cl0p na Oracle EBS. W ciągu 24 godzin – między 20 a 21 listopada – grupa ta miała wykorzystać luki i wyprowadzić dane z 29 firm. Są to podmioty z USA, Japonii, Arabii Saudyjskiej i innych krajów – wśród nich korporacje wyceniane na setki miliardów dolarów.
Począwszy od czwartku, 20 listopada, grupa cyberprzestępcza Cl0p rozpoczęła wykorzystywanie podatności zero-day w Oracle E-Business Suite, co doprowadziło do poważnych wycieków danych w kilkudziesięciu dużych korporacjach. Ransomware żąda wysokich okupu od największych światowych firm, w tym rzekomo od Broadcom, Estée Lauder, Mazda i Canon. W e-mailu przesłanym przez Cl0p, do którego dotarły media, cyberprzestępcy podkreślają, że „nie zależy im na władzy politycznej ani na interesach jakiegokolwiek biznesu”. Ich jedynym celem jest zmuszenie firmy do „zapłacenia żądanej sumy”.
Kim jest Cl0p?
Grupa cyberprzestępcza odpowiedzialna za ataki na klientów Oracle E-Business Suite nazywa siebie Cl0p. Ta rosyjskojęzyczna grupa działa co najmniej od 2019 r., przeprowadzając liczne szeroko zakrojone ataki ransomware. Cl0p jest znana z zaawansowanych technik szantażu oraz złośliwego oprogramowania, a dotychczas uzyskała przeszło 500 milionów dolarów w wymuszonych okupach.
Według U.S. Cybersecurity and Infrastructure Security Agency (CISA), Cl0p „jest znana z częstych zmian złośliwego oprogramowania oraz kształtowania globalnych trendów w dystrybucji złośliwego oprogramowania”. Grupa uchodzi za „jednego z największych światowych dystrybutorów phishingu oraz malspamów”. Od początku działalności, w ciągu sześciu lat, Cl0p wykorzystała wycieki danych co najmniej 8 000 firm, w tym 3 000 podmiotów z USA.
Czym jest podatność zero-day i jak Cl0p ją wykorzystał?
Podatność zero-day to luka bezpieczeństwa w oprogramowaniu, sprzęcie lub firmware, nieznana dla twórców, a przez to podatna na ataki ze strony cyberprzestępców. Jak trafnie ujął to University of Tennessee Office of Innovative Technologies :
„Podatność zero-day to jak ukryte tajne drzwi w Twojej ulubionej aplikacji lub systemie operacyjnym”.
Termin „zero-day” odnosi się do liczby dni, przez które programiści, eksperci ds. cyberbezpieczeństwa i inni interesariusze są świadomi tej luki. Jak sugeruje nazwa, podatności zero-day nie są na bieżąco łatane, gdyż deweloperzy nie wiedzą o ich istnieniu. Ta „ślepa plamka” pozwala hakerom na wykorzystanie tej luki do kradzieży i wyprowadzania wrażliwych danych, instalowania złośliwego oprogramowania oraz prowadzenia innych nielegalnych działań w różnych celach.
W obecnym ataku na Oracle E-Business Suite, Cl0p wykorzystał dwie znane podatności typu zero-day. Obie dotyczą wersji Oracle EBS od 12.2.3 do 12.2.14.
- CVE-2025-61882: Ta podatność (CVE, ang. common vulnerabilities and exposures) dotyczy integracji BI Publisher w Oracle E-Business Software. Według brytyjskiego National Cyber Security Centre, luka pozwala nieautoryzowanym hakerom „przesyłać specjalnie przygotowane żądania HTTP do wybranego komponentu, co skutkuje pełnym przejęciem systemu”. CVE-2025-61882 umożliwiła Cl0p bezpośredni dostęp do atakowanego systemu.
- CVE-2025-21884: Ta podatność dotyczy interfejsu użytkownika (UI) Runtime Oracle Configurator. Zgodnie z informacją CISA, luka ta „pozwala nieautoryzowanemu atakującemu z dostępem do sieci poprzez HTTP na przejęcie Oracle Configurator”. Po udanym ataku CVE-2025-21884 umożliwia hakerom nieautoryzowany dostęp do kluczowych lub wrażliwych danych.
Od kiedy grupa cyberprzestępcza wykorzystuje podatności Oracle?
Ataki Cl0p ransomware na Oracle E-Business Software trwają od końca września.
W ostatnich dwóch miesiącach działania grupy coraz bardziej się rozprzestrzeniały i obecnie Cl0p deklaruje ponad 100 organizacji – ofiar ataków na Oracle EBS. Danych 77 firm wyciekło już w postaci plików torrent lub linków magnetycznych.
Które firmy zostały dotknięte atakiem ransomware?
Do tej pory ponad 100 firm zostało rzekomo dotkniętych atakami Cl0p na Oracle EBS. W ciągu 24 godzin – między 20 a 21 listopada – grupa miała wykorzystać luki i wyprowadzić dane z 29 kolejnych firm. Firmy te mają siedziby od USA, przez Japonię, po Arabię Saudyjską, w tym przedsiębiorstwa wyceniane na setki miliardów dolarów.
Firmy rzekomo dotknięte atakiem ransomware 20 listopada
- Oracle
- Michelin
- Broadcom
- The Estée Lauder Companies
- Humana
- Fruit of the Loom
- Abbott Laboratories
- Grupo Bimbo
- A10
- Envoy
- Canon
- Greater Cleveland RTA
- Frontrol
- MAS Holdings
- Trane Technologies
- Treet Corp
- University of Phoenix
- L&L Products
- Worley
- Mazda
- Fleet Management Limited
- Alshaya Group
- Bechtel Corporation
- WellBiz Brands, Inc.
- Dooney & Bourke
- Greenball
- Sumitomo Chemical
- Aljomaih Automotive Company (AAC)
Jakie działania są podejmowane w celu zminimalizowania skutków cyberataków?
Od początku października Oracle wystosował dwa główne alerty bezpieczeństwa, informujące użytkowników o podatnościach związanych z atakami zero-day Cl0p. Pierwszy alert dotyczył CVE-2025-61882: „Ta podatność może być zdalnie wykorzystana bez uwierzytelnienia, tj. możliwa jest z poziomu sieci bez logowania się nazwą użytkownika i hasłem” – wyjaśnia Oracle w komunikacie bezpieczeństwa. „Oracle zdecydowanie zaleca jak najszybsze zastosowanie poprawek udostępnionych w tym alercie”. Aktualizacja dołączona była do dokumentacji, opisującej sposób uzyskania i instalacji poprawki.
Oracle opublikował drugi alert bezpieczeństwa dotyczący CVE-2025-61884. Zawierał on również dokumentację dotyczącą dostępności poprawek oraz apelował do użytkowników o jej natychmiastowe wdrożenie, aby uniknąć poważnego naruszenia bezpieczeństwa lub innych negatywnych skutków.
Jakie groźby kieruje Cl0p w razie braku uregulowania okupu?
W oficjalnym e-mailu Cl0p ujawnionym przez Mandiant (firmę cyberbezpieczeństwa należącą do Google), główną kartą przetargową Cl0p są wykradzione wrażliwe dane z Oracle EBS. Grupa cyberprzestępcza ostrzega, że podmioty, które nie zapłacą okupu, narażają się na wyciek danych klientów: poprzez sprzedaż „czarnym aktorom”, publikację na blogu Cl0p lub udostępnianie w trackerach torrent.
Mandiant przekazał również istotne stanowisko dotyczące metody działania grupy. Firma wyjaśniła, że podczas wcześniejszych kampanii Cl0p „sprawcy zazwyczaj czekali kilka tygodni przed upublicznieniem danych ofiar”. Oznacza to, że podmioty poszkodowane w najnowszym ataku mogą mieć ograniczony czas, zanim dane klientów zostaną ujawnione w jednej z typowych form wykorzystywanych przez Cl0p.
Widoczność podatności dostawców z Z2Data
Dla producentów oryginalnego sprzętu (OEM) oraz innych firm, ryzyko związane z dostawcami pozostaje dynamicznym i trudnym do przewidzenia czynnikiem łańcucha dostaw. Przykład ataków z użyciem podatności zero-day w Oracle pokazuje, że zakłócenia ze strony dostawców mogą prowadzić do poważnych konsekwencji, a natychmiastowe przeciwdziałanie nie zawsze jest możliwe. W ciągu ostatnich sześciu tygodni firmy z listy Fortune 500, takie jak Broadcom, Abbott Laboratories czy Estée Lauder, miały doświadczyć poważnych wycieków danych w wyniku podatności pochodzącej od swojego dostawcy oprogramowania – Oracle.
Narażenie na podatności dostawców nie musi być standardem. Firmy mogą wykorzystać platformę do zarządzania ryzykiem łańcucha dostaw (SCRM, ang. supply chain risk management), aby wzmocnić się wobec potencjalnych zagrożeń generowanych przez dostawców.
Jednak narażenie na podatności dostawców nie musi być standardem. Firmy mogą wdrożyć platformę do zarządzania ryzykiem łańcucha dostaw (SCRM, ang. supply chain risk management), aby lepiej zabezpieczyć się przed potencjalnymi ryzykami po stronie dostawców. Narzędzie SCRM firmy Z2Data oferuje kompleksowy hub ryzyka, obejmujący oceny ryzyka ponad 100 000 dostawców na świecie. Każda analiza ryzyka w Z2Data uwzględnia 12 unikalnych czynników, zapewniając wielowymiarową ocenę zagrożenia generowanego przez danego dostawcę. Czynniki analizowane przez Z2Data obejmują:
- Zależność od źródeł zaopatrzenia
- Wpływ taryf handlowych
- Zgodność z przepisami handlowymi
- Ryzyko geopolityczne
- Operacje produkcyjne
- Kondycja finansowa
- Ryzyko upadłości
- Ryzyko ESG
- Cyberbezpieczeństwo
- Przejrzystość danych
- Materiały
- Ryzyko w elektronicznym łańcuchu dostaw
Korzystając z Risk Hub od Z2Data, organizacje zyskują widoczność oraz wiedzę, pozwalającą identyfikować ryzyka proaktywnie – zanim przekształcą się one w nieodwracalne kryzysy łańcucha dostaw. Aby dowiedzieć się więcej o Z2Data i możliwościach analizy ryzyka dostawców, umów bezpłatne demo z jednym z naszych ekspertów produktowych.