前几年先后针对Accellion、GoAnywhere、MOVEit、Cleo等多款MFT文件共享系统的勒索软件黑客Clop，最近传出再次作案的情况，Google威胁情报团队（GTIG）与安全企业Mandiant已介入调查，据悉此次黑客锁定的目标，是Oracle旗下的应用系统。

该消息最早由路透社报道披露，Google掌握到黑客正在向多家公司的高管发送电子邮件进行勒索，声称从Oracle商业应用程序E-Business Suite（EBS）窃取了敏感数据。对于攻击者的身份，Google透露是勒索软件黑客Clop的附属团伙（Affiliation），且此类邮件活动的数量相当多，但除此之外，该公司拒绝透露其他细节，并强调目前没有足够的证据来证实这些说法的真实性。路透社曾试图联系Oracle置评，但至今未获回应。而在路透社与Cl0p的邮件联系中，cl0p表示目前不打算讨论细节。

安全企业Halcyon勒索软件研究中心负责人Cynthia Kaiser表示，他们观察到的勒索金额从数百万美元到数千万美元不等，最高金额达5000万美元。对于攻击者身份，Cynthia Kaiser认为根据初期发现的迹象，很可能与Clop有关，但与该组织的具体关联仍不明朗。

后续科技新闻网站Bleeping Computer、TechCrunch跟进报道，披露更多资讯。两家媒体均引述Google网络犯罪分析负责人Genevieve Stark的说法指出，黑客声称自9月29日起开始向高管发信，但Google尚未证实黑客的说法是否属实。这些邮件来自数百个遭入侵的账号，其中一个为勒索软件黑客组织FIN11（Clop）所持有的账号。

Google事件响应团队Mandiant的技术总监Charles Carmakal也向上述媒体透露，寄给高管的恶意邮件中包含Clop数据泄露网站公布的联系方式，黑客借此向受害企业施压，要求付款以换取删除被盗文件。

Bleeping Computer的报道中，还特别公开了其获取的勒索信内容。发信人自称来自Clop团队，表示已入侵收件人所属组织的Oracle E-Business Suite应用程序，复制了大量文件，所有内部资料及其他信息目前均存放在他们的系统中。此外，该安全新闻网站确认信中列出的电子邮箱地址，与Clop设立的数据泄露网站上公布的信息一致。

Charles Carmakal认为，尽管这些手法与Clop此前的活动非常相似，但他们目前仍缺乏足够证据确认黑客确实窃取到了相关数据。

Clop后续向Bleeping Computer承认是其所为，但不愿透露其他细节，仅表示Oracle的核心产品再次出现漏洞，真相很快就会揭晓。

10月3日，Oracle通过博客发出警告，称已获悉部分Oracle E-Business Suite客户收到勒索信。根据公司调查，攻击者利用的漏洞已于7月完成修补，但未公布漏洞的CVE编号。对此，公司呼吁客户及时安装最新的补丁程序以应对风险。