Neue Erpressungswelle gegen Oracle-Kunden : Mandiant untersucht Cl0p-Verbindungen
Google Mandiant und die Google Threat Intelligence Group (GTIG) warnen vor einer neuen Erpressungswelle, die offenbar mit der bekannten Cl0p-Gruppe in Verbindung steht. Über kompromittierte Konten und manipulierte Passwort-Reset-Funktionen greifen Cyberkriminelle Oracle-E-Business-Umgebungen an – und verlangen Lösegeld in Millionenhöhe.
Google Mandiant und die Google Threat Intelligence Group beobachten derzeit eine neue Angriffswelle, die vermutlich auf die finanziell motivierte Hackergruppe Cl0p zurückgeht. Die Täter verschicken Erpressungs-E-Mails an Führungskräfte verschiedener Unternehmen und behaupten, sie hätten vertrauliche Daten aus der Oracle E-Business Suite entwendet.
„Diese Aktivitäten begannen am oder vor dem 29. September 2025. Unsere Experten stehen jedoch noch am Anfang mehrerer Untersuchungen und konnten die Aussagen der Angreifer bisher nicht bestätigen“, erklärte Genevieve Stark, Leiterin der Abteilung für Cyberkriminalität und Informationsoperationen bei GTIG.
Laut Stark sind die Angriffe opportunistisch und richten sich nicht gezielt gegen bestimmte Branchen. Dieses Vorgehen passe zu früheren Kampagnen, die bereits mit der Cl0p-Datenleak-Plattform in Verbindung gebracht wurden.
Massiver E-Mail-Angriff mit Spuren zu FIN11
Mandiant-CTO Charles Carmakal bezeichnete die laufende Kampagne als „hochvolumige E-Mail-Attacke“, die von Hunderten kompromittierten Konten ausging. Hinweise deuten darauf hin, dass mindestens eines dieser Konten bereits mit Aktivitäten der Gruppe FIN11 verknüpft war – einer Untereinheit der bekannten TA505-Gruppe.
Seit dem Jahr 2020 ist FIN11 für zahlreiche Ransomware- und Erpressungskampagnen bekannt. Die Gruppe gilt außerdem als haupt- oder mitverantwortlich für die Verbreitung verschiedener Schadprogramme wie FlawedAmmyy, FRIENDSPEAK und MIXLABEL.
„Die bösartigen E-Mails enthalten Kontaktinformationen, und wir konnten bestätigen, dass zwei der angegebenen Adressen auch öffentlich auf der Cl0p-Datenleak-Seite gelistet sind“, so Carmakal. „Dies deutet stark darauf hin, dass eine Verbindung besteht und der Name Cl0p gezielt genutzt wird, um der aktuellen Operation Glaubwürdigkeit zu verleihen.“
Angriff über kompromittierte E-Mail-Konten und Passwort-Resets
Noch ist unklar, wie die Angreifer den Erstzugang erlangen. Nach Recherchen von Bloomberg sollen kompromittierte Benutzerkonten und die missbräuchliche Nutzung der Standardfunktion für Passwortzurücksetzungen eine Rolle spielen. Dadurch gelingt es den Tätern offenbar, gültige Zugangsdaten für internetseitig erreichbare Oracle-E-Business-Suite-Portale zu erhalten.
Das Sicherheitsunternehmen Halcyon bestätigte in einem Bericht, dass die Angreifer die Standardfunktion für Passwortzurücksetzungen missbrauchen, um sich Zugang zu verschaffen. Dabei würden lokale Oracle-EBS-Konten verwendet, die nicht über Single-Sign-on- oder Mehrfaktor-Authentifizierung abgesichert seien. „Lokale Konten umgehen Unternehmensrichtlinien für Single Sign-On und verfügen häufig nicht über Mehrfaktor-Authentifizierung – dadurch sind Tausende Organisationen angreifbar“, so Halcyon.
Die Angreifer nutzen kompromittierte E-Mail-Konten, um Passwort-Resets auszulösen und so legitimen Zugriff zu erhalten. In einigen Fällen seien bereits Beweise für Kompromittierungen übermittelt worden – einschließlich Screenshots und Dateiverzeichnissen. Die geforderten Lösegeldsummen reichen laut Halcyon-Bericht bis zu 50 Millionen US-Dollar.
Oracle reagiert mit Hinweis auf Juli-Update
Ein Sprecher von Oracle bestätigte, dass einige Kunden des Oracle-E-Business-Suite-Systems Erpressungs-E-Mails erhalten hätten. Die laufende Untersuchung habe ergeben, dass Angreifer möglicherweise bekannte Schwachstellen ausnutzen, die bereits im Juli 2025 durch ein sogenanntes Critical Patch Update behoben wurden.
Rob Duhart, Chief Security Officer von Oracle, forderte alle Kunden auf, die aktuellen Sicherheitsupdates umgehend zu installieren: „Wir raten allen Anwendern dringend, die neuesten Patches einzuspielen, um potenzielle Angriffe zu verhindern.“ Welche konkreten Schwachstellen derzeit aktiv ausgenutzt werden, teilte das Unternehmen allerdings nicht mit.
Cl0p bleibt aktiv und wandlungsfähig
In den vergangenen Jahren hat die Cl0p-Gruppe mehrfach bewiesen, dass sie Schwachstellen in weitverbreiteten Unternehmensplattformen gezielt ausnutzen kann. Zu ihren bekanntesten Angriffswellen zählen Exploits gegen Accellion FTA, SolarWinds Serv-U FTP, Fortra GoAnywhere MFT und Progress MOVEit Transfer. Diese Attacken führten weltweit zu Datenlecks in Tausenden von Unternehmen.
Die aktuelle Kampagne zeigt, dass Cl0p und ihre möglichen Nachahmer ihre Taktiken weiterentwickeln. Statt sich ausschließlich auf technische Schwachstellen zu konzentrieren, setzen sie zunehmend auf psychologische Taktiken – etwa durch glaubwürdig wirkende E-Mails und gezielte Kommunikation mit Entscheidungsträgern. Dass die Angreifer nun das Vertrauen in geschäftskritische Software wie die Oracle E-Business Suite ausnutzen, unterstreicht ihre wachsende Professionalität und Risikobereitschaft.
Fazit: Frühzeitige Absicherung ist entscheidend
Noch gibt es keine abschließenden Beweise für eine direkte Verbindung zwischen den aktuellen Erpressungsversuchen und der Cl0p-Gruppe. Dennoch weist die Kombination aus missbrauchten Passwortfunktionen, kompromittierten Konten und hohen Lösegeldforderungen auf eine professionelle Täterstruktur hin.
Wie Mandiant betont, sei Wachsamkeit entscheidend: „Auch wenn die Beweise noch nicht vollständig vorliegen, empfehlen wir allen Organisationen, ihre Umgebungen auf verdächtige Aktivitäten hin zu untersuchen und die jüngsten Sicherheitsupdates zeitnah zu implementieren.“