A gangue de ransomware Clop vem explorando desde agosto de 2025 uma vulnerabilidade crítica no Oracle E-Business Suite (EBS) para ataques de roubo de dados, segundo a CrowdStrike. O problema, rastreado como CVE-2025-61882, afetava o componente BI Publisher Integration dentro do módulo Concurrent Processing, permitindo execução remota de código em sistemas não atualizados por meio de ataques de baixa complexidade, sem necessidade de interação do usuário.
Leia também
Plataforma promete segurança em devops com IA
Crime cibernético de IA é indefensável, dizem líderes de TI
Pesquisadores da watchTowr Labs, ao analisar Uma prova de conceito (PoC) vazada na internet pelo grupo Scattered Lapsus$ Hunters, identificaram que a CVE-2025-61882 na verdade consiste em uma cadeia de vulnerabilidades que possibilita a execução remota de código com apenas uma requisição HTTP, sem autenticação. A exploração conhecida inicial ocorreu em 9 de agosto de 2025, e a CrowdStrike alerta que outros atores podem ter se aproveitado do mesmo bug.
A divulgação do PoC em 3 de outubro e a publicação do patch pela Oracle devem promover investimentos conhecidos com o EBS a desenvolver exploits e atacar sistemas expostos à internet. A Clop também vem usando e-mails de extorsão, solicitando resgates para não vazar dados confidenciais obtidos via CVE-2025-61882. A Oracle reforça que os clientes devem aplicar imediatamente os patches e manter versões com suporte.
Historicamente, o Clop explora vulnerabilidades de dia zero em campanhas de roubo de dados, incluindo ataques a softwares como Cleo, Accellion FTA, GoAnywhere MFT e MOVEit Transfer, impactando milhares de organizações. O Departamento de Estado dos EUA oferece recompensa de US$ 10 milhões por informações que conectem a Clop a governos estrangeiros.
