Mengerti.id - Google mengungkap pada Kamis 9 Oktober 2025 bahwa serangan siber besar-besaran yang menargetkan perangkat lunak korporasi milik Oracle telah mengompromikan puluhan hingga lebih dari 100 organisasi di seluruh dunia. Menurut laporan Reuters, insiden ini menjadi salah satu pelanggaran data perusahaan terbesar sepanjang tahun 2025.
Kelompok ransomware CL0P yang berafiliasi dengan Rusia disebut mengeksploitasi celah keamanan nol-hari (zero-day vulnerability) dalam perangkat lunak Oracle untuk mencuri data bisnis sensitif dan menuntut tebusan hingga $50 juta atau sekitar Rp815 miliar dari para korban.
Kampanye serangan ini diketahui telah dimulai sejak Juli 2025, dengan target utama sistem Oracle E-Business Suite — perangkat lunak penting yang digunakan ribuan perusahaan untuk pengelolaan keuangan, pemrosesan gaji, dan operasi rantai pasok.
Analis keamanan Google, Austin Larsen, menjelaskan bahwa jumlah korban masih terus bertambah. “Kami mengetahui puluhan korban, tetapi kemungkinan jumlah sebenarnya jauh lebih banyak. Berdasarkan skala kampanye CL0P sebelumnya, diperkirakan lebih dari seratus organisasi terdampak,” kata Larsen.
Tim keamanan dari Google Threat Intelligence Group bersama Mandiant mengonfirmasi bahwa CL0P mengeksploitasi celah kritis CVE-2025-61882 dengan skor CVSS 9,8 yang memungkinkan eksekusi kode jarak jauh tanpa autentikasi.
Eksploitasi pertama terdeteksi pada 9 Agustus 2025, beberapa minggu sebelum Oracle merilis pembaruan darurat (emergency patch) pada 4 Oktober 2025.
“Skala investasi dalam serangan ini menunjukkan bahwa pelaku ancaman telah menyiapkan sumber daya besar untuk melakukan riset pra-serangan,” tulis Google dalam laporan resminya.
Celah tersebut memengaruhi Oracle E-Business Suite versi 12.2.3 hingga 12.2.14 dan memungkinkan penyerang mengendalikan sistem sepenuhnya tanpa memerlukan nama pengguna atau kata sandi.
Rantai serangan CL0P tergolong canggih. Kelompok ini memanfaatkan komponen SyncServlet Oracle untuk melewati autentikasi, kemudian mengunggah templat berbahaya melalui XML Publisher Template Manager guna mengeksekusi perintah dan membuat pintu belakang (backdoor) permanen di sistem korban.
Menurut laporan dari Strobes Security Blog, kelompok ini berhasil mengekstraksi data dalam jumlah besar, termasuk catatan penggajian, kontrak vendor, serta transaksi keuangan sebelum mengirim email pemerasan kepada para eksekutif perusahaan.
Google menyebut bahwa para korban berasal dari berbagai sektor, termasuk perbankan, logistik, teknologi, dan industri energi. Hingga kini, belum diketahui berapa banyak perusahaan yang telah membayar tebusan kepada kelompok peretas tersebut.
Serangan ini menandai peningkatan signifikan dalam kompleksitas dan dampak serangan siber yang menargetkan infrastruktur bisnis global, terutama yang bergantung pada sistem Oracle.
Pihak Oracle sendiri telah mengonfirmasi adanya kerentanan tersebut dan mendorong seluruh klien untuk segera memasang pembaruan keamanan yang dirilis pada awal Oktober.
Pakar keamanan menilai bahwa serangan ini memperlihatkan meningkatnya koordinasi dan sumber daya kelompok ransomware berbasis negara, serta menjadi peringatan keras bagi perusahaan untuk memperkuat pertahanan digital mereka.
