Ransomware · Outubro 2025

Grupo Clop explora zero-day no Oracle E-Business e extorque dezenas de empresas

Como um grupo de ransomware operou em silêncio por meses antes de revelar o ataque — e o que isso significa para quem depende de software legado.

Equipe ProfitSec · 8 min de leitura · TechCrunch

Em setembro de 2025, executivos de grandes corporações americanas começaram a receber e-mails ameaçadores do grupo Clop. Anexado a cada mensagem: uma cópia dos seus dados pessoais e uma demanda de resgate de vários milhões de dólares. O que poucos sabiam é que o ataque havia começado meses antes — em silêncio.

O que aconteceu

O grupo Clop explorou uma vulnerabilidade zero-day no Oracle E-Business Suite, um conjunto de aplicações empresariais usado por centenas de organizações para gerenciar dados financeiros, de RH e de supply chain. A falha permitia que os atacantes extraíssem dados sensíveis de funcionários e executivos sem deixar rastros óbvios nos logs.

A Oracle não tinha conhecimento da vulnerabilidade até ser confrontada com evidências em outubro de 2025. Nesse ponto, os dados já haviam sido roubados de universidades, hospitais, organizações de mídia e empresas Fortune 500.

Por que isso importa para você

O Oracle E-Business Suite é um software legado que muitas organizações mantêm em produção por anos — às vezes décadas — sem avaliações de segurança adequadas. A premissa de que "está funcionando, então está seguro" é exatamente o que grupos como o Clop exploram.

Este ataque segue um padrão que o Clop já usou antes: explorar vulnerabilidades em software de transferência de arquivos e sistemas empresariais amplamente usados (GoAnywhere, MOVEit, Cleo). A estratégia é sempre a mesma — operar em silêncio, acumular dados, e só então revelar o ataque com uma demanda de resgate.

Perspectiva ProfitSec

Sistemas legados como o Oracle EBS raramente passam por pentests regulares. As organizações assumem que o fornecedor é responsável pela segurança — mas vulnerabilidades zero-day, por definição, são desconhecidas até serem exploradas. A única defesa real é uma combinação de monitoramento de comportamento anômalo e avaliações periódicas de segurança nos sistemas críticos.

O que as organizações deveriam fazer

Independente do software que você usa, algumas práticas reduzem significativamente o risco de um ataque desse tipo:

  • Mantenha um inventário atualizado de todos os sistemas que processam dados sensíveis
  • Implemente monitoramento de acesso e alertas para padrões anômalos de extração de dados
  • Realize pentests periódicos em sistemas legados — não apenas nos novos
  • Tenha um plano de resposta a incidentes testado antes de precisar dele
  • Segmente a rede para limitar o movimento lateral em caso de comprometimento

Conclusão

O ataque do Clop ao Oracle E-Business Suite é mais um lembrete de que a segurança não é um estado — é um processo contínuo. Sistemas que não são avaliados regularmente acumulam risco silenciosamente, até que alguém decide explorá-lo.