Oracle ve Clop Ransomware Çetesi: E-Business Suite Tehdidi
Son günlerde, Oracle firması, Clop ransomware çetesi tarafından yürütülen bir şantaj kampanyası ile gündeme geldi. Bu kampanyanın, Oracle’ın E-Business Suite (EBS) yazılımında tespit edilen, Temmuz 2025’te yamanan güvenlik açıkları ile bağlantılı olduğuna dair güçlü işaretler var.
Oracle, bu saldırının doğrudan Clop çetesi ile bağlantılı olup olmadığını henüz doğrulamış değil; ancak, şirketin Baş Güvenlik Sorumlusu Rob Duhart, EBS müşterisinin şantaj e-postaları aldığını belirtti. Duhart, Oracle müşterilerini yazılımlarını güncellemeleri konusunda uyardı.
Güvenlik Açıkları ve Temmuz 2025 Yamanması
Oracle, Temmuz 2025’te yayımlanan Kritik Yamanın bir parçası olarak E-Business Suite üzerinde etkili olan toplam dokuz güvenlik açığı belirledi. Bu açıklardan üçü (CVE-2025-30745, CVE-2025-30746, ve CVE-2025-50107) uzaktan erişim ile istismar edilebiliyor ve kullanıcı kimlik bilgileri gerekmiyor.
Duhart’ın açıklamalarına göre, araştırma süreci devam etmekte. Bu durum, Oracle E-Business Suite kullanıcılarının sistemlerini daha güvenli hale getirmek ve olası saldırılara karşı korumak için acil güncellemeler yapmalarının ne kadar önemli olduğunu bir kez daha gözler önüne seriyor.
Şantaj E-postaları ve İlk İzlenimler
Mandiant ve Google Tehdit İstihbarat Grubu (GTIG), birçok şirketin yöneticilerine, Oracle E-Business Suite sistemlerinden çalınan hassas verilerin çevrimiçi olarak sızdırılmaması için fidye talep eden e-postalar gönderildiğini bildirdi. GTIG’nin siber suç biriminin başkanı Genevieve Stark, saldırganların bu şantaj e-postalarını 29 Eylül 2025 tarihinden önce göndermeye başladığı bilgisini paylaşarak, tehdit analistlerinin halen bu kötü niyetli faaliyetleri araştırdığını vurguladı.
Saldırganların göndermiş olduğu e-postalardan birinde, “Biz CL0P ekibiyiz. Bizi daha önce duymadıysanız, internetten araştırabilirsiniz. Yakın zamanda Oracle E-Business Suite uygulamanıza sızdık ve birçok belge kopyaladık. Tüm özel dosyalar ve diğer bilgiler artık sistemimizde,” ifadeleri dikkat çekti.
Veri Çalınma İddiaları ve Tepkiler
Mandiant’in Baş Teknoloji Sorumlusu Charles Carmakal, verilerin gerçekten çalıp çalınmadığı konusunda yeterli kanıt olmadığını belirtse de, Clop çetesi, yaptıkları açıklamada bu şantaj kampanyasına dahil olduklarını ve saldırıları Oracle ürünündeki bir hata ile ilişkilendirdiklerini belirtti. Clop, “Yakında herkes görecek ki Oracle, çekirdek ürününde büyük bir hata yaptı ve bir kez daha kurtarma görevi Clop’a düştü,” şeklinde açıklamada bulundu.
Clop’un geçmişteki suçlamalarına baktığımızda, bu grup daha önce Cleo’nun güvenli dosya transfer yazılımındaki sıfır gün açığını hedef alarak, birçok kurbanı şantaj altında bırakmıştı. Ayrıca Accellion FTA, GoAnywhere MFT, ve MOVEit Transfer gibi sistemlerde de benzer veri hırsızlığı saldırıları düzenlemiştir. Bu tür saldırılar, dünya çapında 2,770’den fazla kuruluşu etkilemiştir.
Oracle Kullanıcılarının Alması Gereken Önlemler
Oracle’ın kullanıcıları, güvenlik açıklarından korunmak ve olası şantaj olaylarının etkilerini minimize etmek için acil önlemler almalıdır. Bunun için şu adımlar izlenebilir:
Yazılımların Güncellenmesi: Oracle E-Business Suite yazılımını kullanan tüm şirketlerin, Temmuz 2025’te yayınlanan en son güvenlik yamalarını derhal uygulamaları gerekmektedir.
E-posta Güvenliği: Şantaj e-postalarına karşı dikkatli olunmalı ve tanımadıkça hiçbir bağlantıya tıklanmamalıdır.
Veri Yedeklemesi: Kritik verilerin düzenli olarak yedeklenmesi, veri kaybı durumunda alternatif bir çözüm sunabilir.
Güvenlik Eğitimi: Şirket çalışanlarına, siber saldırılar ve dolandırıcılık konusunda eğitim verilmeli, bilgilendirilmeleri sağlanmalıdır.
Sonuç
Oracle ve Clop ransomware çetesinin karşılıklı etkileri, siber güvenlik alanında ciddi riskler doğurmakta. Şirketlerin bu tür saldırılara karşı hazırlıklı olmaları, sadece teknik önlemlerle değil aynı zamanda bilinçli bir kullanıcı kitlesi oluşturarak sağlanabilir. Siber güvenlik artık tüm organizasyonların önceliklerinden biri olmalı.
