Em meados de março, um agente de ameaça postou no Breachforums uma violação bem-sucedida dos sistemas da Oracle. A CybelAngel recebeu informações de uma fonte de inteligência de ameaças que confirmou que a Oracle admitiu um incidente de segurança envolvendo seus servidores Gen 1 e começou a notificar os clientes.
A Oracle teria reconhecido o incidente de segurança envolvendo acesso não autorizado à sua infraestrutura de nuvem para clientes selecionados. Os dados roubados, incluindo um cache de 6 milhões de registros de dados , foram posteriormente oferecidos para venda, acompanhados de exigências de resgate e propostas para o comércio de exploits de dia zero. Nos dias que se seguiram, o infrator forneceu informações adicionais, provas e amostras, fortalecendo ainda mais sua credibilidade dentro da comunidade clandestina de segurança cibernética.
Os dados comprometidos, de acordo com a Oracle, tinham aproximadamente 16 meses e não incluíam Informações Pessoais Identificáveis (PII) completas; os dados expostos incluíam endereços de e-mail, nomes de usuários e senhas criptografadas; em vez de buscar apenas pagamento financeiro, o invasor queria trocar dados roubados por explorações de dia zero, indicando uma agenda cibercriminosa mais ampla.
Os dados roubados incluem: credenciais SSO (Single Sign-On) e LDAP, arquivos JKS (Java Key Store), senhas e arquivos de chave, chaves JPS do Enterprise Manager.
A Oracle teria tomado medidas de segurança proativas para mitigar riscos adicionais. A Oracle negou oficialmente que os servidores de login SSO federados da Oracle Cloud da empresa tenham sido violados.
A CybelAngel recebeu informações de uma fonte de inteligência de ameaças que relata que a Oracle comunicou às partes interessadas sobre um incidente de segurança envolvendo seus servidores Gen1.
Essa exposição foi facilitada por meio de um exploit Java de 2020 e o hacker conseguiu instalar um webshell junto com malware. O malware tinha como alvo específico o banco de dados Oracle IDM. Em poucos dias, a Oracle supostamente conseguiu remover o invasor quando a primeira demanda por resgate foi feita no início de março. Antes que isso fosse tornado público, a Oracle tomou medidas para conter a violação e reforçar a segurança em torno dos servidores afetados.
“rose87168”, o agente de ameaças por trás dessas iniciativas de violação de dados, é um agente de ameaças cibernéticas pouco conhecido.
Uma captura de tela do tópico atualizado conectando-se ao comentário do ator exibindo a nova amostra de 2025.
O resgate solicitado é um pagamento de 20 milhões de dólares mas o hacker está disposto a trocar dados roubados por exploits de dia zero.
