🗓️ Contexte

Article publié par SecurityWeek le 16 mars 2026, couvrant les suites de la campagne d’attaque ciblant les clients d’Oracle E-Business Suite (EBS), revendiquée par le groupe Cl0p.

🎯 Nature de l’attaque

Le groupe Cl0p a exploité des vulnérabilités zero-day dans Oracle E-Business Suite pour accéder aux données stockées par des organisations clientes, puis a utilisé ces données à des fins d’extorsion. La communauté cybersécurité associe cette opération au cluster FIN11, qui serait le moteur opérationnel derrière la marque publique Cl0p.

🏢 Victimes et impact

Plus de 100 organisations victimes ont été listées sur le site de fuite Cl0p, couvrant de nombreux secteurs :

  • Technologie, télécommunications, logiciels
  • Industrie lourde, fabrication, ingénierie
  • Commerce de détail, biens de consommation
  • Énergie, services publics, médias, finance, divertissement

Pour la majorité des victimes, des fichiers torrent pointant vers les données volées ont été publiés, indiquant un refus de payer la rançon.

🔇 Entreprises silencieuses

Quatre grandes entreprises listées sur le site Cl0p aux alentours du 20 novembre 2025 n’ont émis aucune déclaration publique :

  • Broadcom (semi-conducteurs et logiciels d’infrastructure) — plus de 2 To de données prétendument exfiltrées
  • Bechtel (ingénierie et construction)
  • Estée Lauder Companies (cosmétiques) — 870 Go de données prétendument exfiltrées
  • Abbott Laboratories (dispositifs médicaux et solutions de santé)

🔍 Analyse des données publiées

SecurityWeek a conduit une analyse de métadonnées et d’arborescence de fichiers (sans téléchargement) sur les données prétendument volées à certaines grandes entreprises, confirmant que les fichiers proviennent bien d’un environnement Oracle EBS.

📰 Type d’article

Article de presse spécialisée à visée informative, faisant le point sur l’état des divulgations publiques des victimes de la campagne Cl0p/Oracle EBS et analysant les données de fuite disponibles.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Cl0p (cybercriminal)
  • FIN11 (cybercriminal)

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1657 — Financial Theft (Impact)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1567 — Exfiltration Over Web Service (Exfiltration)

🔗 Source originale : https://www.securityweek.com/oracle-ebs-hack-only-4-corporate-giants-still-silent-on-potential-impact/