Un’ondata di email di estorsione sta colpendo i vertici di Oracle, con criminali informatici che affermano di aver sottratto dati sensibili dall’E-Business Suite, la piattaforma ERP più diffusa dell’azienda. Secondo gli analisti, dietro questa campagna potrebbero celarsi figure legate al famigerato gruppo ransomware cl0p, già responsabile in passato di attacchi di portata globale.

Il Google Threat Intelligence Group (GTIG) e gli esperti di Mandiant hanno confermato di essere al lavoro per indagare sulla vicenda, monitorando l’attività che avrebbe avuto inizio alla fine di settembre. Tuttavia, allo stato attuale, non esistono prove concrete a sostegno delle rivendicazioni dei criminali.

La particolarità di questa campagna risiede nel fatto che, a differenza di precedenti operazioni riconducibili a cl0p , non c’è stato alcun rilascio pubblico di dati trafugati. I criminali, almeno per ora, si sono infatti limitati a inviare messaggi di minaccia, chiedendo denaro in cambio del silenzio. Proprio l’assenza di evidenze ha sollevato dubbi tra i ricercatori di sicurezza. Potrebbe trattarsi di una vera compromissione ancora in fase iniziale, oppure di un tentativo opportunistico di sfruttare il nome di Oracle per aumentare la pressione psicologica sui destinatari.

Secondo Charles Carmakal, CTO di Mandiant, due indirizzi email utilizzati in questa campagna figurano già sul sito nel dark web che cl0p usa per pubblicare i dati rubati. Un dettaglio che rafforza l’ipotesi di un legame con il gruppo, anche se non costituisce una prova definitiva.

Come già accennato, cl0p non è un nome nuovo nel panorama del cybercrimine. Il gruppo, che si pensa abbia sede in Russia o nell’Europa orientale, si è costruito una fama sinistra attaccando fornitori di software aziendali e sfruttando piattaforme ad alto valore strategico. L’episodio più noto resta quello del MOVEit breach del 2023, che ha colpito migliaia di organizzazioni a livello globale e portato al furto di informazioni riservate di enorme importanza.

In questo caso, però, le modalità sembrano diverse. Non ci sono exploit noti né vulnerabilità pubbliche in Oracle E-Business Suite che possano giustificare l’allarme e Google e Mandiant hanno ribadito di non aver individuato alcuna traccia di compromissione nei sistemi aziendali.

cl0p Oracle eBusiness Suite

L’e-mail di estorsione di cI0p che afferma di aver rubato dati. Fonte: Google

Oracle, un obiettivo sensibile

La scelta di puntare su Oracle non è casuale. L’E-Business Suite è un sistema ERP che gestisce ambiti nevralgici per le aziende, dalle risorse umane alla logistica, passando per i flussi finanziari. Un eventuale accesso a questi dati significherebbe avere tra le mani informazioni come contratti, buste paga e bilanci di alcune delle più grandi corporation del mondo.

Non sorprende, quindi, che il semplice evocare una violazione in questa piattaforma sia sufficiente a mettere in allarme dirigenti e responsabili della sicurezza IT. Come ricordano gli analisti, anche un bluff ben orchestrato può spingere le aziende a valutare la possibilità di cedere a richieste di riscatto, pur di evitare il rischio di esposizione. Carmakal invita alla cautela e ricorda che citare vendor di alto profilo è una tattica comune nelle estorsioni digitali. Più grande e riconoscibile è l’azienda nominata, maggiore sarà infatti la pressione percepita dai suoi dirigenti, anche senza prove tangibili.

Per ora, dunque, il compito degli esperti di GTIG e Mandiant è verificare sul campo se esistano reali indicatori di compromissione, mentre le aziende destinatarie dei messaggi si trovano in una posizione delicata, indecise se indagare con serietà senza però alimentare quello che potrebbe rivelarsi solo un bluff.

Indipendentemente dall’autenticità delle minacce, questa campagna mette in evidenza quanto la paura di un’esposizione pubblica resti una delle armi più potenti a disposizione dei cybercriminali. L’idea di vedere esposti dati critici, anche solo come ipotesi, è sufficiente a destabilizzare il consiglio di amministrazione di una multinazionale e a mettere in moto procedure di emergenza. È proprio questo il terreno su cui si muovono le estorsioni moderne: un equilibrio fragile tra realtà e percezione, tra prove concrete e il potere psicologico di un nome che fa tremare.

(Immagine in apertura: Shutterstock)