Hacker nutzen Oracle-Systeme aus, Führungskräfte mit Lösegeldforderungen konfrontiert

Ein groß angelegter Cyberangriff hat globale Unternehmen in Alarmbereitschaft versetzt, da Hacker, die mit der Cl0p-Ransomware-Bande in Verbindung stehen, Führungskräfte durch Erpressungskampagnen ins Visier nehmen.

Die Angreifer behaupten, sensible Daten aus den E-Business Suite-Anwendungen von Oracle gestohlen zu haben, die häufig zur Verwaltung von Finanztransaktionen, Lieferketten und Kundendatensätzen verwendet werden.

Laut Sicherheitsforschern senden die Hacker Erpressungs-E-Mails an Unternehmensleiter, in denen sie Zahlungen verlangen, um die Veröffentlichung kompromittierter Dateien zu verhindern.

Eine dieser Forderungen erreichte 50 Millionen Dollar, obwohl bisher kein Opfer bestätigt wurde, dass es gezahlt hat.

E-Mails, die an Führungskräfte des Unternehmens gesendet werden

Google von Alphabet bestätigte , dass Hacker Führungskräfte zahlreicher Unternehmen kontaktieren und behaupten, dass sie vertrauliche Daten aus den Systemen von Oracle exfiltriert haben.

In einer Erklärung beschrieb Google die Kampagne als "hochvolumig", sagte aber, dass es derzeit keine ausreichenden Beweise habe, um die Behauptungen zu überprüfen.

Die E-Mails, die am oder vor dem 29. September auftauchten, wurden über Hunderte von kompromittierten Konten von Drittanbietern verbreitet und weisen Merkmale auf, die mit früheren Cl0p-Operationen übereinstimmen.

Die Ermittler stellten fest, dass die Angreifer anscheinend die standardmäßige Passwort-Reset-Funktion von Oracle missbraucht haben, um gültige Anmeldeinformationen für internetorientierte Portale der E-Business Suite zu erhalten.

Die Erpressungsnotizen, die in schlechtem Englisch verfasst waren und grammatikalische Fehler enthielten, enthielten Screenshots und Dateibäume als angeblichen Nachweis des Zugriffs. Die in den Nachrichten eingebetteten Kontaktdaten stimmen auch mit denen überein, die zuvor mit Cl0p verknüpft waren.

Lösegeldforderungen und Risiken von Datendiebstahl

Das Cybersicherheitsunternehmen Halcyon berichtete, dass die Lösegeldforderungen im sieben- und achtstelligen Bereich lagen, wobei eine Forderung bis zu 50 Millionen US-Dollar betrug.

Die Taktik der Angreifer beschränkt sich nicht nur auf die Verschlüsselung von Dateien, sondern beinhaltet auch massenhaften Datendiebstahl, der den Druck auf die Opfer erhöhen kann, zu zahlen. Wenn sich Unternehmen weigern, könnten gestohlene Daten durchgesickert oder verkauft werden, was zu weiteren regulatorischen, finanziellen und Reputationsschäden führt.

Während sowohl Google als auch Halcyon die Kampagne mit Cl0p in Verbindung gebracht haben, betonten die Forscher, dass das volle Ausmaß des Verstoßes unklar bleibt. Weder Oracle noch Cl0p reagierten auf Bitten um Stellungnahme.

Die Geschichte von Cl0p mit groß angelegten Sicherheitsverletzungen

Cl0p ist dafür bekannt, Schwachstellen in weit verbreiteter Unternehmenssoftware auszunutzen. Im Jahr 2023 führte die Gruppe einen Massenangriff auf das Dateiübertragungstool MOVEit durch und beanspruchte Daten von Hunderten von Organisationen, darunter Shell, der Eigentümer von British Airways, IAG und die BBC.

Nach diesem Vorfall bezeichnete die US Cybersecurity and Infrastructure Security Agency Cl0p als einen der weltweit größten Vertreiber von Phishing und Malspam und schätzte, dass mehr als 3.000 Unternehmen in den USA und 8.000 weltweit kompromittiert wurden.

Die aktuelle Kampagne zeigt, wie sich cyberkriminelle Gruppen zunehmend auf die Unternehmensplattformen konzentrieren, die das Rückgrat der Unternehmensabläufe bilden.

Durch die Kompromittierung von Anwendungen wie der E-Business Suite von Oracle erhalten Angreifer potenziellen Zugriff auf die sensibelsten Finanz- und Betriebsdaten in großen Unternehmen.

Das Ausmaß der Lösegeldforderungen – und die Tatsache, dass Führungskräfte selbst direkt ins Visier genommen werden – zeigt, wie viel auf dem Spiel steht für Unternehmen, die von diesen Systemen abhängig sind.