Des clients d’Oracle E-Business Suite reçoivent plusieurs jours des e-mails affirmant que leurs systèmes ont été piraté et leurs données sensibles volées. Une demande de rançon est exigée pour ne pas faire fuiter les données. Les messages sont signés Clop, un groupe cybercriminel déjà impliqué derrière la campagne MOVEit en 2023. Menace sérieuse ?
Mandiant, filiale de Google Cloud, a lancé des investigations et estime que cette campagne d’extorsion a débuté au moins depuis le 29 septembre.
« Nous observons actuellement une campagne de courrier électronique à volume élevé lancée à partir de centaines de comptes compromis et notre analyse initiale confirme qu’au moins un de ces comptes a déjà été associé à l’activité de FIN11, un groupe de menaces connu pour déployer des ransomwares et se livrer à des extorsions », a déclaré Charles Carmakal, directeur technique de Mandiant dans un message adressé aux médias.
Malgré ces similitudes, Mandiant ne dispose pas encore preuves pour confirmer que des données ont bien été volées.
Oracle mène également ses propres investigations. « Notre enquête en cours a révélé l’utilisation potentielle de vulnérabilités précédemment identifiées qui sont traitées dans la mise à jour du correctif critique de juillet 2025 », a déclaré Rob Duhart, directeur de la sécurité d’Oracle Security, dans un bref communiqué. L’éditeur recommande à ses clients d’appliquer au plus vite les correctifs.
Mandiant conseille aux entreprises et organisations qui reçoivent ces e-mails d’extorsion d’enquêter sur leurs environnements pour détecter tout accès inhabituel dans leurs plates-formes Oracle E-Business Suite.
En mars dernier, Oracle avait déjà été affecté par une fuite de données. Alors qu’un pirate affirmait avoir compromis des serveurs d’authentification et exfiltré 6 millions d’enregistrements sensibles, Oracle avait d’abord réfuté toute violation. L’entreprise avait fini par reconnaitre une intrusion sur des services cloud Oracle Classic.