I dati di decine, forse centinaia, di aziende clienti di Oracle sono stati trafugati a seguito di un sofisticato attacco hacker ai danni del gigante del cloud computing, almeno secondo il Google Threat Intelligence Group (GTIG) che, tra le altre cose, ha specificato anche che l’attacco è stato preparato per almeno tre mesi, cosa che lascia pensare ad un’organizzazione molto potente e florida.

Un attacco di Cl0p, ma senza ransomware

Un dettaglio strano di questo attacco, almeno per quanto se ne sa al momento, è che a metterlo a segno sembra sia stata la gang ransomware nota come Cl0p (CLOP), ma non ci sarebbe stata nessuna cifratura dei dati. Soltanto una esfiltrazione, probabilmente a scopo di estorsione: paga o riveliamo tutto al grande pubblico.

Diverse vulnerabilità zero day sarebbero state sfruttate per mettere a segno il colpo, evidentemente con buoni risultati. Il target è stata Oracle E-Business Suite (eBS), la piattaforma cloud di Oracle dedicata alle grandi aziende con imponenti moli di dati da gestire e archiviare.

Non è ancora chiaro da che parte siano entrati gli hacker per bucare Oracle eBS, ma secondo Bloomberg tutto sarebbe iniziato con la violazione di un’email aziendale, che ha portato poi al reset della password di un account (non protetto da autenticazione a due fattori) per ottenere l’accesso al portale business di Oracle.

Oracle ha ammesso di essere a conoscenza che alcuni dei suoi clienti hanno già ricevuto delle email dal contenuto estorsivo. Queste email conterrebbero due indirizzi di contatto, entrambi noti per appartenere a membri della gang CLOP.

Nessuno è più al sicuro

Oracle è un gigante del cloud, terzo per dimensioni dopo Amazon Web Services e Google. Non stiamo parlando, quindi, di una piccola azienda sprovveduta e senza sistemi di sicurezza di ultima generazione. Questo attacco dimostra che, al giorno d’oggi, nessuno è realmente al sicuro.

A marzo 2025 gli analisti di CloudSEK hanno dichiarato che era stato bucato il cloud di Oracle ed erano in vendita 6 milioni di record sul dark web. All’epoca l’azienda smentì la notizia, ma CloudSEK ha ribadito l’autenticità della notizia.