Масштабная хакерская атака на Oracle E-Business Suite: Washington Post и другие жертвы
The Washington Post стала одной из жертв крупной кибератаки, связанной с уязвимостями в корпоративной платформе Oracle E-Business Suite — системе, где компании хранят HR-данные, финансовые отчёты и другую конфиденциальную информацию. Об этом первыми сообщили Reuters в пятницу, ссылаясь на официальное заявление газеты: она пострадала от взлома Oracle EBS. Представитель издания не ответил на запрос TechCrunch, а спикер Oracle Майкл Эгберт ограничился ссылкой на два ранее опубликованных предупреждения, не комментируя детали.
Атака началась в конце сентября 2025 года, когда корпоративные руководители по всему миру стали получать шантажные письма от адресов, связанных с вымогательской группировкой Clop (также известной как TA505 или FIN11). Хакеры утверждали, что украли огромные объёмы внутренних данных из взломанных систем Oracle. По данным Google Threat Intelligence Group, пострадали более 100 организаций. Один из топ-менеджеров, по словам фирмы Halcyon, получил требование выкупа в 50 миллионов долларов.
В четверг Clop опубликовала на своём сайте заявление о взломе Washington Post, обвинив компанию в «игнорировании мер безопасности» — стандартная формулировка банды для жертв, отказавшихся платить. Группа часто публикует имена и фрагменты украденных файлов как способ давления, особенно если переговоры провалились или не начались.
Подтверждённые жертвы (по состоянию на ноябрь 2025):
- The Washington Post — украдены внутренние документы; данные опубликованы после отказа платить.
- Envoy Air (дочерняя American Airlines) — подтверждён взлом 17 октября; пострадали бизнес-данные и контакты сотрудников.
- Гарвардский университет — утечка HR-данных сотрудников и студентов (до 2024 года); университет применил патчи, ведёт расследование.
- Schneider Electric — французско-немецкий энергетический гигант; украдены данные цепочек поставок.
- Pan American Silver — канадско-американская горнодобывающая компания; финансы и личные данные сотрудников.
- Cox Enterprises — американский медиахолдинг (владелец Atlanta Journal-Constitution); утечка HR и внутренних коммуникаций.
- Hertz — арендатор автомобилей; ранее пострадал от связанной с Oracle атаки в апреле 2025-го.
Также упоминаются WK Kellogg, Cleo и десятки других компаний из финансов, авиации и энергетики — их имена пока не подтверждены официально, но они фигурируют в шантажных письмах.
Техническая основа атаки
Clop использовала zero-day уязвимость CVE-2025-61882 (оценка CVSS 9.8), позволяющую удалённый захват контроля без аутентификации, а также другие дыры из июльского патча Oracle. Эксплойты начались ещё в июле–августе, но массовая кампания шантажа стартовала в сентябре. Oracle выпустила исправления 4 октября, но CISA добавила CVE в список «известных эксплуатируемых уязвимостей», обязав федеральные агентства США применить патчи.
Эксперты Mandiant и CrowdStrike рекомендуют:
- Отключить внешний доступ к EBS.
- Проверить логи на наличие следов компрометации.
- Мониторить утечки на даркнете.
Clop не шифрует файлы — их бизнес-модель: кража + шантаж. Группа заработала сотни миллионов на атаках вроде MOVEit (2023) и продолжает действовать агрессивно.
Оригинал
Уникальность
