חברת ההנדסה הדיגיטלית GlobalLogic טוענת כי נגנב מידע אישי של למעלה מ- 10,000 עובדים נוכחיים ובעבר בגל מתקפות Oracle E-Business Suite (EBS) המיוחסות לקבוצת הכופרה Clop. החברה שבבעלות Hitachi מצטרפת לרשימה הולכת וגדלה של קורבנות בעלי פרופיל גבוה, הכוללת כעת גם את The Washington Post ואת Allianz UK. בהודעה לתובע הכללי של מיין, מסרה GlobalLogic כי 10,471 אנשים נפגעו לאחר שפושעי סייבר השיגו גישה בלתי מורשית למערכות המחשוב שלה.
במכתבי הודעה שנשלחו לנפגעים ונראו גם על ידי אנשי אתר The Register, הודתה GlobalLogic כי המידע שנגנב כולל שמות, כתובות, מספרי ביטוח לאומי, פרטי דרכון ופרטי חשבון בנק. GlobalLogic מסרה כי חקירתה זיהתה את תאריך 10 ביולי 2025 כמועד הפריצה הראשוני למערכות המחשוב שלה, כאשר הפריצה האחרונה למערכותיה התרחשה ב- 20 באוגוסט 2025. ממצאים אלו תואמים ממצאים של Google Threat Intelligence Group (GTIG) ו- Mandiant, אשר דיווחו כי תעבורת HTTP חשודה המכוונת לשרתי Oracle EBS החלה בתחילת יולי.
מתקפת הסייבר ודלף המידע הופכים את GlobalLogic לאחד הקורבנות האחרונים של ניצול נרחב של פגיעויות Oracle EBS אשר נחשפו מוקדם יותר השנה ומאז, נקשרו לקבוצת פשעי הסייבר Clop. פושעי הסייבר ניצלו פגמים בתוכנת תכנון משאבי הארגון של Oracle, כשהם מכוונים לארגונים שהשאירו את מערכותיהם חשופות לאינטרנט. גל מתקפות זה כבר פגע במספר חברות גדולות והוושינגטון פוסט אישר בשבוע שעבר שהוא בין הנפגעים. Allianz בריטניה אישרה גם היא מוקדם יותר השבוע כי נפגעה גם כן באותו גל של מתקפות ואמרה ל- The Register כי נגנב מידע של 80 לקוחות נוכחיים ו- 670 לקוחות לשעבר.
הודעות רשמיות אלו יוצאות במקביל לכך שקבוצת פשעי הסייבר Clop מציינת באתר ההדלפות שלה כ- 30 ארגונים בהם פגעה בגל מתקפות Oracle EBS. הרשימה, שנחשפה על ידי The Register, משתרעת על פני מגזרים שונים החל מבריאות, אלקטרוניקה, צרכנות ועד פיננסים, ייצור, חינוך ותקשורת.
היקף מתקפת הסייבר הזו מדגיש עד כמה עדיין מושרשת עמוק בסביבות ארגוניות פלטפורמת EBS של Oracle, למרות גילה ומורכבותה. EBS, שהושקה לראשונה לפני יותר משני עשורים, משלבת מערכות שכר, רכש ומשאבי אנוש – מה שהופך אותה למטרה חשובה עבור פושעי סייבר המחפשים מידע פיננסי או מידע רגיש של עובדים. בניגוד למתקפות כופרה מסורתיות בהן מצפינים פושעי הסייבר נתונים, מתמקדים מפעילי Clop יותר ויותר בגניבת מידע וסחיטה וכמו כן, מפרסמים קבצים גנובים באתרי הדלפת המידע שלהם ברשת האינטרנט האפלה כדי ללחוץ על הקורבנות לשלם. גישה זו נמנעת מהסיכונים התפעוליים הכרוכים בפריסת מצפינים והוכחה כרווחית במתקפות כופרה קודמות.
Oracle לא הגיבה בפומבי על היקף הפריצות ולא הגיבה לשאלות אנשי אתר The Register, אך אתר הדליפות של Clop ממשיך להתרחב – מה שמרמז על כך שמתקפת הסייבר הזו עדיין מאד פעילה.
