Oracle và Google đang đồng loạt cảnh báo về một làn sóng email tống tiền quy mô lớn nhắm vào khách hàng doanh nghiệp. Các tin tặc trong chiến dịch này tuyên bố đã đánh cắp dữ liệu nhạy cảm từ hệ thống Oracle E-Business Suite và đe dọa công bố thông tin nếu nạn nhân không trả tiền chuộc.
Chiến dịch tấn công nhắm vào khách hàng doanh nghiệp Oracle
Oracle xác nhận rằng nhiều khách hàng của họ đã nhận được email tống tiền, đánh dấu bước leo thang của một chiến dịch tấn công được Google phát hiện đầu tuần. Theo Oracle, các tin tặc có thể đã khai thác những lỗ hổng phần mềm cũ đã được công bố trước đó, và công ty đang kêu gọi người dùng cập nhật ngay bản vá bảo mật tháng 7/2025 để giảm thiểu rủi ro.
Trong khi đó, Google mô tả chiến dịch này là “high volume” – tức có quy mô lớn, nhắm vào các lãnh đạo cấp cao trong nhiều doanh nghiệp khác nhau. Những email tống tiền này cảnh báo rằng dữ liệu bị đánh cắp sẽ bị công khai nếu yêu cầu chuộc không được đáp ứng. Một nhóm hacker tự xưng là cl0p đã nhận trách nhiệm, tuy nhiên Google nhấn mạnh rằng họ chưa thể xác minh tuyên bố này.
Oracle từ chối tiết lộ số lượng tổ chức bị ảnh hưởng hoặc phạm vi địa lý của các cuộc tấn công, song xác nhận rằng công ty đang điều tra kỹ lưỡng và khuyến cáo các khách hàng tăng cường giám sát an ninh nội bộ.
Nhóm ransomware cl0p và mối liên hệ nghi ngờ
Các chuyên gia bảo mật cho rằng chiến dịch lần này mang dấu hiệu quen thuộc của những nhóm tội phạm mạng chuyên tống tiền quy mô lớn. Cynthia Kaiser, Giám đốc Trung tâm Nghiên cứu Ransomware của Halcyon, cho biết nhóm của bà đã quan sát thấy các yêu cầu chuộc dao động từ vài triệu đến 50 triệu USD.
Kaiser nhận định có khả năng chiến dịch này liên quan đến cl0p, nhưng vẫn cần thêm bằng chứng để khẳng định, bởi nhiều nhóm tội phạm mạng thường chia sẻ hoặc tái sử dụng cùng một cơ sở hạ tầng tấn công.
Cl0p được biết đến từ năm 2019, hoạt động theo mô hình ransomware-as-a-service (RaaS) – cung cấp công cụ mã hóa và nền tảng rò rỉ dữ liệu cho các nhóm khác, đổi lại chia phần lợi nhuận. Cấu trúc phi tập trung của mạng lưới này khiến việc truy vết cực kỳ khó khăn, dù nhiều chuyên gia cho rằng nhóm này có liên hệ với các tổ chức tội phạm nói tiếng Nga.
Hãng bảo mật Trend Micro, đơn vị đã theo dõi cl0p trong nhiều năm, từng gọi nhóm này là “kẻ dẫn đầu xu hướng” vì thường xuyên thay đổi chiến thuật. Cl0p từng gây chú ý toàn cầu với cuộc tấn công vào MOVEit Transfer năm 2023, khiến hàng loạt cơ quan chính phủ và doanh nghiệp lớn trên thế giới bị ảnh hưởng.
Oracle và Google kêu gọi người dùng cảnh giác
Đến thời điểm hiện tại, cả Oracle và Google đều chưa phát hiện bằng chứng cho thấy dữ liệu khách hàng đã bị rò rỉ. Tuy nhiên, hai công ty đều nhấn mạnh rằng người dùng Oracle E-Business Suite cần khẩn trương cập nhật hệ thống lên bản vá mới nhất và báo cáo ngay bất kỳ email hoặc hành vi khả nghi nào cho đội an ninh nội bộ.
Vụ việc tiếp tục được điều tra, trong khi giới chuyên môn nhận định đây là lời nhắc nhở rõ ràng rằng tấn công mạng tống tiền đang ngày càng tinh vi, và ngay cả những tập đoàn công nghệ lớn nhất thế giới cũng không nằm ngoài tầm ngắm.
