Mit Cl0p verbundene Bande versucht, Oracle E-Business-Kunden zu erpressen

Cybersicherheitsexperten sind in höchster Alarmbereitschaft, da eine Gruppe, die Verbindungen zur berüchtigten Cl0p-Ransomware-Bande behauptet, Unternehmen mit E-Mails bombardiert , in denen mit der Offenlegung angeblich gestohlener Daten aus der E-Business Suite von Oracle gedroht wird – einem weit verbreiteten System zur Verwaltung zentraler Geschäftsfunktionen wie Finanzen und Personalwesen.

Die Aktivität, die am oder vor dem 29. September 2025 begann, hat dringende Untersuchungen durch die Sicherheitsteams von Mandiant und der Google Threat Intelligence Group (GTIG) ausgelöst. Die betroffenen Organisationen, von denen viele die Oracle E-Business Suite nutzen, stehen unter Druck, auf die Vorwürfe zu reagieren.

Laut Charles Carmakal, Chief Technology Officer bei Mandiant (einem Google Cloud-Unternehmen), der seine Erkenntnisse mit Hackread.com geteilt hat, handelt es sich bei dem Angriff um eine massive E-Mail-Kampagne mit hohem Volumen, die von Hunderten zuvor gehackter E-Mail-Konten von Drittanbietern gesendet wurde.

Die ersten Überprüfungen von Mandiant deuten darauf hin, dass mindestens eines dieser Konten zuvor von FIN11 verwendet wurde, einer etablierten kriminellen Gruppe, die für den Einsatz von Ransomware und Erpressung bekannt ist.

Es scheint, dass diese Gruppe versucht, den guten Ruf von Cl0p auszunutzen, einer berüchtigten, finanziell motivierten Cybercrime-Gruppe, die für äußerst erfolgreiche, groß angelegte Angriffe bekannt ist, wie beispielsweise die MOVEit-Kampagne 2023, von der über 2.300 Organisationen betroffen waren.

Bisherige Untersuchungen haben eine starke Verbindung ergeben: Zwei konkrete Kontaktadressen in den Erpresser-E-Mails stimmen mit den öffentlich auf der Cl0p-Datenleck-Website aufgeführten Adressen überein. Carmakal merkte an, dass dies auf eine Verbindung zu Cl0p hindeutet oder dass die Akteure den Namen einfach nutzen, um mehr Einfluss zu gewinnen.

„Die in den Erpresserbriefen angegebenen Kontaktadressen ( [email protected] und [email protected] ) sind dieselben, die öffentlich auf der offiziellen CLOP-Datenleck-Site aufgeführt sind“, sagte Austin Larsen, Principal Threat Analyst bei der Google Threat Intelligence Group.

Genevieve Stark, Leiterin der Cybercrime-Analyse bei GTIG, erklärte gegenüber Hackread.com, dass „derzeit nicht genügend Beweise vorliegen, um die Glaubwürdigkeit dieser Behauptungen endgültig zu beurteilen“. Sie fügte hinzu, dass dies möglich sei, da Cyberkriminelle sich oft als etablierte Gruppen ausgeben , um den Druck auf die Opfer zu erhöhen, zu zahlen.

Die Ermittler von Mandiant führen derzeit zahlreiche Überprüfungen in den Oracle-Umgebungen der betroffenen Organisationen durch, konnten die Behauptungen eines erfolgreichen Datendiebstahls jedoch noch nicht bestätigen. Die einzigen eindeutigen Hinweise sind bisher die Erpresser-E-Mails selbst und die Verwendung der mit Cl0p in Verbindung stehenden E-Mail-Adressen.

In diesen Droh-E-Mails wird kein bestimmter Lösegeldbetrag gefordert, sondern die Unternehmensleitung wird dazu gedrängt, Kontakt mit der Bedrohungsgruppe aufzunehmen, um Zahlungsverhandlungen aufzunehmen.

Es ist erwähnenswert, dass die Cl0p-Gruppe bisher weder Daten veröffentlicht noch die Kampagne auf ihren offiziellen Leak-Sites bestätigt hat. Unternehmen wird empfohlen, ihre Systeme sorgfältig auf Anzeichen einer Kompromittierung zu überprüfen, solange die Echtheit der Behauptungen der Hacker unbestätigt bleibt.

Oracle hingegen ist sich des Problems bewusst. In einerSicherheitswarnung erklärte der Chief Security Officer des Unternehmens, Rob Duhart: „Oracle ist sich bewusst, dass einige Kunden der Oracle E-Business Suite (EBS) Erpresser-E-Mails erhalten haben. Unsere laufenden Untersuchungen haben die potenzielle Ausnutzung zuvor identifizierter Schwachstellen ergeben, die im Critical Patch Update vom Juli 2025 behoben werden.“

Dies ist eine sich entwickelnde Geschichte; Hackread.com wird seine Leser auf dem Laufenden halten, sobald die neuesten Updates verfügbar sind.