Oracle đã xác nhận về một chiến dịch rò rỉ dữ liệu nghiêm trọng nhắm vào các ứng dụng E-Business Suite (EBS) của mình. Trong chiến dịch này, thông tin nhạy cảm đã bị đánh cắp và đang được sử dụng cho các chiến dịch tống tiền quy mô lớn. Công ty cảnh báo rằng những kẻ tấn công đã khai thác các lỗ hổng đã được khắc phục trong bản Cập nhật Vá lỗi Quan trọng (CPU) tháng 7 năm 2025. Để bảo vệ khách hàng khỏi các cuộc xâm nhập tiếp theo và nguy cơ rò rỉ dữ liệu, Oracle khuyến cáo mạnh mẽ tất cả các tổ chức sử dụng EBS nên áp dụng ngay CPU mới nhất.

Phân tích Chiến dịch Tống tiền và Liên kết với Mã độc Cl0p

Mối liên hệ sâu rộng với nhóm mã độc Cl0p

Gần đây, các giám đốc điều hành và nhóm IT tại nhiều tổ chức lớn đã nhận được email tống tiền. Nội dung các email này tuyên bố rằng dữ liệu từ hệ thống Oracle EBS của họ đã bị sao chép và hiện đang nằm trong tay kẻ tấn công. Những kẻ tấn công này đang yêu cầu khoản tiền chuộc khổng lồ, lên tới 50 triệu USD, để đổi lấy việc không công khai các thông tin nhạy cảm đã bị đánh cắp.

Công ty an ninh mạng Halcyon, hiện đang ứng phó tích cực với các sự cố bị ảnh hưởng, đã chỉ ra mối liên hệ chặt chẽ giữa nhóm tin tặc thực hiện các cuộc tấn công này và băng nhóm mã độc Cl0p. Cl0p là một trong những nhóm tội phạm mạng khét tiếng nhất, nổi tiếng với các chiến thuật tống tiền tinh vi và khả năng đánh cắp dữ liệu hàng loạt.

Để củng cố các mối đe dọa của mình, những kẻ tấn công đã gửi cho nạn nhân các bằng chứng xác thực về việc rò rỉ dữ liệu. Các bằng chứng này bao gồm ảnh chụp màn hình các hệ thống bị xâm nhập, danh sách chi tiết các tệp đã bị đánh cắp và các bản ghi thông tin nhạy cảm đã bị sao chép.

Chiến dịch gửi email đe dọa được xác định bắt đầu vào hoặc trước ngày 29 tháng 9. Trong chiến dịch này, những kẻ tấn công đã sử dụng hàng trăm tài khoản email của bên thứ ba đã bị xâm nhập để che giấu danh tính và tăng cường phạm vi tiếp cận.

Một đặc điểm đáng chú ý của các thư tống tiền này là sự xuất hiện của các lỗi tiếng Anh và ngữ pháp kém. Đây là một dấu hiệu nhận diện quen thuộc và thường thấy trong các thông tin liên lạc được cho là từ nhóm Cl0p.

Ít nhất một công ty đã công khai thừa nhận rằng dữ liệu EBS của họ đã bị đánh cắp thành công. Sự thừa nhận này càng làm tăng thêm mức độ nghiêm trọng và sự lan rộng của chiến dịch tấn công này.

Theo phân tích của Genevieve Stark từ Google Threat Intelligence Group, một trong những địa chỉ email được sử dụng trong các thư tống tiền trước đây đã được liên kết trực tiếp với một chi nhánh hoặc đối tác của Cl0p. Điều này cung cấp bằng chứng thêm về mối liên hệ chặt chẽ giữa các vụ tấn công này và nhóm mã độc nói trên.

Cynthia Kaiser của Halcyon đã giải thích rằng Cl0p nổi tiếng với khả năng thực hiện việc đánh cắp dữ liệu hàng loạt một cách lén lút và đòi hỏi các khoản tiền chuộc cực kỳ cao. Nhóm này thường xuyên tìm kiếm và khai thác các lỗ hổng hệ thống để truy cập vào mạng lưới của mục tiêu và trích xuất dữ liệu.

Trong các sự cố an ninh mạng nổi tiếng trước đây, nhóm Cl0p đã khai thác thành công các lỗ hổng trong phần mềm truyền tệp MOVEit. Chiến thuật này đã cho phép chúng đánh cắp dữ liệu từ hàng trăm tổ chức khác nhau, dẫn đến nhiều vụ rò rỉ dữ liệu quy mô lớn trên toàn cầu.

Cl0p đã nhắm mục tiêu vào các công ty lớn hàng đầu thế giới như Shell, British Airways và BBC. Mục tiêu của chúng luôn là đòi hỏi các khoản thanh toán lớn để tránh việc công khai hoặc rò rỉ dữ liệu nhạy cảm đã bị đánh cắp, gây ra áp lực tài chính và uy tín nghiêm trọng cho các nạn nhân.

Phân tích Kỹ thuật: Lỗ hổng Khai thác và Tác động

Phương thức Khai thác và Tầm quan trọng của bản vá bảo mật Oracle

Theo các báo cáo ban đầu, kẻ tấn công được cho là đã lạm dụng các chức năng đặt lại mật khẩu mặc định trên các cổng EBS có kết nối internet. Nếu không được cấu hình hoặc bảo vệ đúng cách, các chức năng này có thể trở thành điểm yếu nghiêm trọng, cho phép kẻ tấn công chiếm quyền truy cập trái phép vào tài khoản người dùng hoặc thậm chí tài khoản quản trị viên.

Tuy nhiên, một số nguồn tin nội bộ lại tin rằng việc rò rỉ dữ liệu này có nguồn gốc sâu xa hơn, xuất phát từ một lỗ hổng bảo mật Oracle EBS cụ thể. Lỗ hổng này đã được Oracle nhận diện và giải quyết thông qua bản vá trong CPU tháng 7 năm 2025. Điều này cho thấy kẻ tấn công có thể đã khai thác một lỗ hổng đã được biết đến nhưng chưa được vá kịp thời bởi các tổ chức bị ảnh hưởng.

Cuộc điều tra chính thức của Oracle về sự cố này vẫn đang được tiến hành. Công ty vẫn chưa đưa ra bình luận cụ thể về phương pháp xâm nhập chính xác được sử dụng. Tuy nhiên, việc lỗ hổng đã được vá trong CPU cho thấy tầm quan trọng tối đa của việc duy trì hệ thống được cập nhật với các bản vá bảo mật mới nhất.

Sự cố này một lần nữa khẳng định tầm quan trọng sống còn của việc áp dụng các bản vá bảo mật kịp thời. Việc trì hoãn trong việc cập nhật hệ thống có thể khiến các tổ chức dễ bị tổn thương trước các cuộc tấn công dựa trên các lỗ hổng đã biết. Các lỗ hổng này có thể dẫn đến việc chiếm quyền kiểm soát hệ thống, đánh cắp dữ liệu nhạy cảm hoặc các hậu quả nghiêm trọng khác.

Oracle khuyến nghị tất cả khách hàng EBS phải xác minh việc áp dụng đầy đủ CPU tháng 7 năm 2025 cho mọi phiên bản hệ thống của họ. Đây là một bước bảo vệ thiết yếu để củng cố môi trường EBS và giảm thiểu rủi ro bị tấn công.

Các Bước Phòng Ngừa và Chiến lược Giảm Thiểu Rủi Ro

Khuyến nghị chi tiết về Bảo mật Hệ thống EBS

Để bảo vệ hiệu quả các hệ thống Oracle EBS, tất cả khách hàng cần phải chủ động. Điều đầu tiên và quan trọng nhất là xác minh rằng CPU tháng 7 năm 2025 đã được áp dụng đầy đủ và chính xác cho mọi phiên bản EBS đang hoạt động. Các tổ chức vẫn đang sử dụng các cấp độ vá lỗi cũ hơn sẽ đối mặt với nguy cơ gia tăng đáng kể về đánh cắp thông tin, rò rỉ dữ liệu và các chiến dịch tống tiền.

Các nhóm bảo mật nội bộ cần thực hiện việc xem xét kỹ lưỡng các nhật ký truy cập. Đặc biệt, cần chú ý tìm kiếm các hoạt động đặt lại mật khẩu đáng ngờ hoặc bất thường. Đây có thể là dấu hiệu sớm của việc kẻ tấn công đang cố gắng chiếm quyền truy cập trái phép.

Đồng thời, việc giám sát liên tục các tài khoản email hoặc hệ thống của bên thứ ba là rất quan trọng để phát hiện sớm các dấu hiệu bị xâm nhập. Các tài khoản này thường bị lợi dụng làm bàn đạp để phát tán các email lừa đảo hoặc thực hiện các chiến dịch tống tiền.

Ngoài ra, khách hàng được khuyến nghị mạnh mẽ nên triển khai xác thực đa yếu tố (MFA) mạnh mẽ cho tất cả các quyền truy cập vào hệ thống EBS. MFA bổ sung một lớp bảo mật thiết yếu, làm giảm đáng kể khả năng kẻ tấn công có thể truy cập tài khoản ngay cả khi chúng có được mật khẩu.

Việc hạn chế các chức năng quản trị viên chỉ dành cho các mạng hoặc điểm truy cập đáng tin cậy cũng là một biện pháp quan trọng. Điều này giúp giảm thiểu bề mặt tấn công và kiểm soát chặt chẽ quyền truy cập đặc quyền, vốn có thể gây ra thiệt hại lớn nếu bị lạm dụng.

Thường xuyên xác minh tính toàn vẹn của hệ thống bằng cách sử dụng các quét bảo mật tự động. Các công cụ này có khả năng phát hiện các thay đổi bất thường, phần mềm độc hại hoặc các dấu hiệu khác của sự xâm nhập hệ thống sớm nhất có thể.

Cuối cùng, duy trì các bản sao lưu ngoại tuyến thường xuyên và đáng tin cậy là cực kỳ quan trọng. Các bản sao lưu này phải được lưu trữ an toàn, tách biệt khỏi mạng chính, để đảm bảo khả năng phục hồi nhanh chóng và hiệu quả sau các sự cố như mã hóa dữ liệu do ransomware hoặc rò rỉ dữ liệu.

Phản ứng và Cam kết Hỗ trợ Khách hàng của Oracle

Oracle đang tiếp tục hợp tác chặt chẽ với các cơ quan thực thi pháp luật và các đối tác an ninh mạng hàng đầu. Mục tiêu là để theo dõi toàn bộ chiến dịch tấn công này, điều tra nguồn gốc và hỗ trợ các khách hàng bị ảnh hưởng trong quá trình phục hồi. Công ty cam kết mạnh mẽ trong việc bảo vệ tính toàn vẹn và an toàn của dữ liệu khách hàng.

Một lần nữa, Oracle nhấn mạnh rằng việc áp dụng CPU tháng 7 năm 2025 vẫn là bước đầu tiên và quan trọng nhất. Đây là hành động thiết yếu để củng cố hệ thống và bảo vệ môi trường E-Business Suite khỏi các mối đe dọa tống tiền hiện tại và ngăn chặn các nguy cơ rò rỉ dữ liệu tiềm tàng trong tương lai.