Americké firmy čelí od konce září nečekané vlně vyděračských e-mailů, v nichž útočníci tvrdí, že získali přístup do podnikových systémů Oracle E-Business Suite. Adresáty zpráv varují, že pokud nezaplatí výkupné, zveřejní citlivé obchodní dokumenty, smlouvy nebo zákaznická data.

Bez důkazů, zato s velkým tlakem

Podle zjištění bezpečnostních firem Mandiant a Google Threat Intelligence Group (GTIG) se zatím nepotvrdilo, že by hackeři skutečně pronikli do systémů. Výzkumnice Genevieve Stark z GTIG uvedla, že vyšetřování je v počáteční fázi a žádné konkrétní úniky nebyly zdokumentovány. Přesto varuje, že psychologický nátlak může mít pro firmy vážné následky – od reputační újmy až po finanční ztráty způsobené preventivními opatřeními nebo ztrátou důvěry zákazníků.

Zdroj: Shutterstock

Stopy vedou k FIN11 a Cl0p

Během analýzy se objevily znaky, které ukazují na spojitost s kyberzločineckými skupinami FIN11 a Cl0p. Podle Charlese Carmakala, technického ředitele Mandiantu, některé vyděračské zprávy pocházely z kompromitovaných e-mailových účtů, které už dříve skupina FIN11 zneužívala při phishingových kampaních.

Další vodítko představují kontaktní adresy uvedené v e-mailech. Ty se objevily na únikovém webu skupiny Cl0p, která je známá rozsáhlými ransomwarovými útoky na mezinárodní firmy. Odborníci však nevylučují, že za kampaní stojí jiní aktéři, kteří jen zneužili jejich značku k posílení věrohodnosti výhrůžek.

Co by měly firmy dělat

Organizace, které Oracle E-Business Suite využívají, by podle bezpečnostních expertů neměly panikařit, ale okamžitě prověřit své systémy. Doporučuje se zkontrolovat logy, vyhodnotit neobvyklé přístupy z cizích IP adres, analyzovat možné změny v databázích a ověřit stav firemních e-mailových účtů. Ty se totiž ukazují jako klíčový kanál, jímž se útočníci snaží vytvářet dojem průniku.

Vydírání jako taktika

Podobné kampaně ukazují, jak efektivní může být pouhé zasetí strachu. Útočníci často nepotřebují mít skutečný přístup k systémům – stačí, když přesvědčí adresáty, že ho mají. V minulosti se podobné metody osvědčily například při masových phishingových kampaních, kdy firmy raději zaplatily, než aby riskovaly zveřejnění domnělých dat. FIN11 i Cl0p jsou známé právě tímto způsobem nátlaku, který kombinuje technické útoky s psychologickými triky.

Ačkoli důkazy o skutečném úniku dat z Oracle E-Business Suite zatím neexistují, případ odhaluje, jak zranitelné mohou být firmy vůči dezinformacím a psychologickému nátlaku. Hackeři využívají známá jména a kompromitované účty, aby posílili svůj bluf a donutili oběti zaplatit.