כנופיית קלופ פרסמה 30 שמות ממאות הקורבנות של המתקפות שלה

פושעי סייבר חשפו את שמותיהם של כ-30 ארגונים שנפגעו ממתקפת כופרה שכוונה ללקוחות של פתרונות תכנון המשאבים הארגוניים E-Business Suite (EBS) של אורקל (Oracle).

קבוצת הכופרה Cl0p – הידועה גם בשם Clop – נטלה אחריות על שורת המתקפות. היא קושרה בעבר על ידי קהילת אבטחת הסייבר לשחקן האיום FIN11. זו ערכה בעבר קמפיינים דומים שכוונו ופגעו בלקוחות שהטמיעו מוצרי העברת קבצים, כגון Cleo, MOVEit ו-Fortra. הקבוצה הנודעת לשמצה התפרסמה ב-2023, אז – באמצעות מתקפת שרשרת האספקה MOVEit MFT – פגעה ביותר מ-95 מיליון משתמשים בכ-3,000 ארגונים.

הקמפיין הנוכחי כלל הודעות סחיטה שנשלחו למנהלים בעשרות ארגונים בסוף ספטמבר, לאחר שפורסמו שמות של 29 קורבנות של הפריצה, באתר ההדלפות של Cl0p. תחילה פורסמו השמות של אוניברסיטת הרווארד, אוניברסיטת וויטס מדרום אפריקה ו-אנבוי, החברת הבת של אמריקן איירלנס (American Airlines). אלו אישרו באמצע אוקטובר את דבר הפריצה, לאחר שההאקרים חשפו את זהותן. בשבוע שעבר, הוושינגטון פוסט אישר גם הוא כי הותקף בהצלחה בקמפיין, אך העיתון והאתר לא מסרו מעבר לכך פרטים. יצוין, כי רוב הקורבנות האחרים טרם אישרו כי נפרצו. אף אחד מהם לא הגיב לדיווח, וגם לא אורקל וקבוצת ההאקרים. בין הקורבנות לכאורה: ענקיות התעשייה שניידר אלקטריק (Schneider Electric) ואמרסון (Emerson), ענקית האלקטרוניקה הצרכנית לוג'יטק (Logitech), ענקית התקשורת והרכב Cox Enterprises, יצרנית הכסף והזהב Pan American Silver, חברת חלקי הרכב LKQ Corporation, וכן – HVAC Copeland. ארגונים נוספים שנטען כי נפרצו הם ממגזרי הכרייה, השירותים המקצועיים, הטיפול בשפכים, בנייה, ביטוח, פיננסים, ייצור, תחבורה, טכנולוגיה, רכב, אנרגיה ומיזוג אוויר. השבוע פורסם שם של קורבן נוסף, אליאנז בריטניה (Allianz UK). החברה הבת הבריטית של ענקית הביטוח אישרה את דבר הפריצה, ציינה כי היא פגעה במאות נתוני לקוחות עבר וכן בעשרות לקוחות קיימים, אך סירבה להגיב על דרישות הסחיטה מקבוצת הפשע קלופ. החברה הדגישה. כי מתקפה זו נפרדת מפריצה קודמת, שפגעה באליאנז לייף, החברה הבת האמריקאנית שלה, שבמסגרתה נקצרו ביולי נתונים השייכים ל-1.4 מיליון לקוחות.

מומחים ציינו, כי הארגונים שהותקפו מנהלים – כנראה – חקירות, וחלקם אינו רוצה לשתף מידע עד להשלמת הבדיקות. ארגונים אחרים, כפי שהוכיחו מתקפות קודמות של Cl0p, "ככל הנראה מנסים להתחמק מאור הזרקורים ולכן שותקים".

פושעי הסייבר הדליפו נתונים שנקצרו מ-18 קורבנות, ופרסמו מאות ג'יגה-בייט וכמה טרה-בייט של קבצים הכוללים פרטים שחלקם מסווגים עסקית. מומחים שבדקו וניתחו את הקבצים שהודלפו קבעו, כי "מקורם, ככל הנראה בסביבת אורקל".

מומחי אבטחה אחרים היו ספקניים יותר וציינו, כי "בהתחשב בהיסטוריה של Cl0p, בהחלט ייתכן כי חלק מהארגונים שנחשפו כקורבנות – אינם כאלה, וכי הדיווח של ההאקרים שגוי חלקית… ייתכן גם שבמקרים מסוימים ההאקרים הגזימו בערך וברגישות של הנתונים הגנובים".

עדיין לא ברור בדיוק אילו פגיעויות של Oracle EBS נוצלו במסגרת מסעות התקיפה. הפגיעויות הסבירות ביותר הן אלו שסומנו כ-CVE-2025-61882 וכ-CVE-2025-61884.

מדובר בחולשות הניתנות לניצול מרחוק, בלא אימות או אינטראקציה עם המשתמש – המספקות יכולת לקבלת גישה לנתונים ולאחר מכן – קצירה שלהם. לפי חלק מהמחקרים, במקרה של CVE-2025-61882, "נראה כי ניצול החולשה כ'יום אפס' החל לפחות חודשיים לפני שהתיקונים לחולשות פורסמו".

חוקרי אבטחה בגוגל העריכו כי עשרות ארגונים הושפעו מהמתקפות שניצלו את חולשת CVE-2025-61882, בדרגת חומרה קריטית של 9.8. לפיהם, הקמפיין החל כבר ביולי, שלושה חודשים לפני שפורסם בראשונה, מה ש"סיפק לתוקפים יתרון משמעותי". מסעות תקיפה מהעבר של קלופ פגעו במאות קורבנות, אך המספרים המדויקים לא ברורים.