O grupo Clop explorou a vulnerabilidade zero-day CVE-2025-61882 no Oracle E-Business Suite entre agosto de 2025 e janeiro de 2026, afetando mais de 100 organizações globalmente antes do patch emergencial da Oracle.
Vítimas como Harvard, University of Phoenix (3,5 milhões de pessoas expostas), Washington Post e GlobalLogic (10.471 funcionários) tiveram dados de RH, folha de pagamento e passaportes exfiltrados.
Como funciona: o zero-day permitia execução remota sem autenticação, permitindo aos atacantes implantar ransomware, exfiltrar dados e ameaçar liberar informações se os resgates não fossem pagos.
Infraestrutura vital sob ataque
Clop operava 2.600 VMs com browsers prontos, deepfakes e painéis de comando; assinava contratos mensais com criminosos que geravam campanhas de phishing em larga escala.
As campanhas rodavam simultaneamente em múltiplas jurisdições, dificultando rastreamento.
Resposta global coordenada
Microsoft, FBI, NCA e Europol usaram inteligência de ameaças, DMARC/SPF e monitoramento de exchanges para identificar operadores, apreender domínios e prender suspeitos.
Mais de 30 prisões foram registradas e domínios maliciosos tirados do ar.
O que isso significa
Para CISOs: patch management e segmentação de rede são imprescindíveis; zero-days em ERP críticos são alvos preferenciais.
Para empresas: prepare notificações regulatórias (GDPR/LGPD) e reveja seguros e planos de resposta.
O que observar: alertas da Oracle, publicações do CISA e atualizações da ENISA sobre novas variantes do Clop.
Em resumo: o Clop mostrou que malware moderno opera como serviço SaaS; defesa exige cooperação público-privada e resposta rápida.