A Canon confirmou oficialmente que foi alvo de uma ampla campanha de hackers que explorava uma vulnerabilidade crítica de dia zero no Oracle E-Business Suite (EBS).
O ataque, orquestrado pela notória gangue de ransomware Clop, impactou dezenas de grandes organizações em todo o mundo. O grupo listou a Canon em seu site de vazamento na dark web, publicando o domínio da empresa junto com outras supostas vítimas.
Embora a listagem no site de vazamento tenha levantado preocupações sobre uma violação massiva de dados, a Canon esclareceu que o impacto foi contido. A gigante de câmeras e imagens afirmou que o compromisso afetou apenas um ambiente específico dentro de uma de suas subsidiárias.
De acordo com a empresa, os invasores não criptografaram a rede mais ampla nem interromperam as operações globais, o que distingue este incidente do devastador ataque de ransomware Maze que a Canon sofreu em 2020.
A equipa de segurança da Canon detectou a intrusão e isolou imediatamente os sistemas afectados. Em comunicado compartilhado com a SecurityWeek, a empresa enfatizou que a violação não se espalhou além de um servidor web operado por uma subsidiária da Canon USA, Inc.
A rápida contenção provavelmente evitou o roubo de dados confidenciais de clientes ou propriedade intelectual, que o grupo Clop frequentemente busca para extorsão.
“Confirmamos que o incidente afetou apenas o servidor web e já tomamos medidas de segurança e retomamos o serviço”, disse a Canon. “Além disso, continuamos investigando mais para garantir que não haja outro impacto”.
A exploração de dia zero do Oracle EBS
A vulnerabilidade usada nesta campanha é rastreada como CVE-2025-61882, uma falha crítica de segurança no Oracle E-Business Suite. Esse dia zero permitiu que invasores não autenticados executassem códigos arbitrários remotamente em servidores vulneráveis.
Pesquisadores de segurança descobriram que as afiliadas do Clop, rastreadas como Graceful Spider, começaram a explorar essa falha já em agosto de 2025 para plantar web shells e exfiltrar dados antes que a Oracle pudesse lançar um patch em outubro.
DetalheDescriçãoCVE IDCVE-2025-61882Pontuação CVSS9.8 (Crítico)Produto afetadoOracle E-Business Suite (EBS)Versões afetadas12.2.3 a 12.2.14Tipo de vulnerabilidadeExecução remota de código não autenticada (RCE)Explorar VectorNetwork (não é necessária interação do usuário)
Este incidente faz parte de uma onda maior de extorsão do tipo “move-it”, onde Clop aproveitou o dia zero para violar quase 30 organizações. Em vez de implantar malware de criptografia imediatamente, o grupo se concentrou no roubo de dados e, posteriormente, enviou e-mails de extorsão a executivos a partir do final de setembro de 2025.
Esses e-mails ameaçavam vazar documentos roubados, a menos que um resgate fosse pago. O site de vazamento do grupo atualmente lista domínios, incluindo Canon, sugerindo que essas entidades foram comprometidas com sucesso durante a fase de exploração automatizada.
Indicadores de Compromisso (IoCs)
Indicador TipoValorDescriçãoEndereço IPv4200.107.207.26Comando e controle malicioso (C2) Endereço IPIPv4185.181.60.11Fonte de exploração observada IPSHA256 Hash76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235dArquivo zip malicioso contendo ferramentas de exploraçãoSHA256 Hash6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1bScript Python usado para exploração do lado do servidorNome do arquivoFileUtils.javaMalicious web shell downloader
As equipes de segurança são aconselhadas a verificar esses indicadores em seus ambientes Oracle EBS e aplicar os patches oficiais imediatamente para evitar novos acessos não autorizados.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
