Los ejecutivos corporativos están siendo atacados en una campaña de extorsión basada en el correo electrónico por un actor de amenazas que reclama afiliación con la notoria pandilla de ransomware CLOP, según investigadores de seguridad del Grupo de Inteligencia de Amenazos de Google y Kroll.
El hacker afirma que se roban datos de las aplicaciones de Oracle E-Business Suite y ha estado exigiendo el pago de varios ejecutivos corporativos, Según una publicación de LinkedIn de Austin Larsen, analista principal de amenazas en GTIG.
Si bien los investigadores no han podido corroborar las afirmaciones de una violación de datos, han confirmado vínculos importantes con un grupo de amenazas motivado financieramente rastreado bajo el nombre FIN11, que tiene asociaciones previas con CLOP.
«Actualmente estamos observando una campaña de correo electrónico de alto volumen que se está lanzando a partir de cientos de cuentas comprometidas, y nuestro análisis inicial confirma que al menos una de estas cuentas se ha asociado previamente con la actividad de Fin11», Charles Carmakal, consultoría Mandiant Mandiant, la unidad de respuesta a incidentes de GTIG, contada por correo electrónico por correo electrónico.
La nota de extorsión de los piratas informáticos incluye dos correos electrónicos de contacto en los que los ejecutivos objetivo pueden responder a las demandas de amenazas, y los investigadores han confirmado que esas direcciones de contacto específicas están enumeradas públicamente en el sitio de fuga de datos CLOP, según Carmakal. Las demandas de extorsión comenzaron a principios de esta semana, el lunes.
Clop es más conocido por el Explotación masiva de vulnerabilidades en Moveit transferencia de archivos en 2023. El grupo más recientemente estuvo involucrado en Explotación de fallas en el software de transferencia de archivos CLEO A finales de 2024.
La actualización más reciente del sitio de CLOP es de julio de 2025, pero las actualizaciones recientes más significativas fueron en febrero y marzo, cuando Clop publicó los nombres de las presuntas víctimas de los ataques vinculados a CLEO, Genevieve Stark, el análisis de inteligencia de operaciones de cibercrimencia e operaciones de cibercrimen en GTIG, buceador de ciberseguridad.
Una serie de empresas principales confirmaron previamente violaciones de datos vinculadas a la vulnerabilidad de CLEO, incluida proveedor de autos de alquiler Hertz y Compañía de cereales de desayuno wk kellogg.
Oracle no ha respondido a una solicitud de comentarios.
Fuente