Des cyberattaques récentes visant des cadres d’entreprise par le biais de courriels d’extorsion pourraient avoir entraîné un vol de données considérable au sein de nombreuses organisations. Le gang d’extorsion CL0P aurait infiltré le logiciel e-Business d’Oracle pour dérober de grandes quantités de données. Bien qu’Oracle ait initialement affirmé que les vulnérabilités corrigées en juillet étaient à l’origine du problème, des correctifs d’urgence ont ensuite été émis, soulignant la gravité de la situation. Le groupe Google Threat Intelligence a révélé que les attaques avaient commencé dès le 29 septembre, avec des activités suspectes remontant à juillet.
La campagne d’extorsion a suivi des mois d’intrusions dans les environnements Oracle, exploitant possiblement une vulnérabilité de type “zero-day” avant la publication du correctif. L’exfiltration de données a probablement eu lieu avant les tentatives d’extorsion, avec des quantités significatives de données volées aux organisations concernées.
Le logiciel d’Oracle, essentiel pour la gestion des données clients et des informations des employés, a été exploité à plusieurs reprises pour voler des données personnelles de cadres d’entreprise. La vulnérabilité de type “zero-day”, identifiée sous le code CVE-2025-61882, a permis aux attaquants d’exécuter du code à distance, les attaques étant attribuées à un groupe basé en Russie connu sous le nom de Graceful Spider.
Cette méthode d’exploitation des vulnérabilités “zero-day”, suivie par des campagnes d’extorsion, est une stratégie connue du groupe FIN11, augmentant l’efficacité des opérations de vol de données. Cette approche minimise l’empreinte réseau des attaquants et retarde la détection, amplifiant l’impact. Le groupe CL0P devrait continuer à acquérir des exploits “zero-day” pour mener des attaques similaires à l’avenir.
