Erpressungsversuche nach Oracle-Lücke betreffen möglicherweise Hunderte Firmen

Die kürzlich bekannt gewordenen Erpressungsversuche nach einer Sicherheitslücke in der E-Business-Suite von Oracle betrifft Dutzende, wenn nicht sogar Hunderte Unternehmen. Das schätzen Googles Sicherheitsexperten nach einer Untersuchung dieser Kampagne. Dahinter steckt eine Gruppe Cyberkrimineller namens Clop, die in der Vergangenheit bereits als Ransomware-Gang aufgefallen ist und mehrere Organisationen nach der Ausnutzung von Systemlücken erpresst hat.

Erst vor wenigen Tagen hat Oracle zur dringenden Installation von Sicherheitsupdates gemahnt, nachdem Angreifer Kunden der E-Business-Suite erpresst haben. Zunächst ging der Hersteller von bereits seit Juli geschlossenen Lücken aus, reichte kurz darauf aber ein Emergency-Update nach. Die entsprechende Lücke ermöglicht Remote Code Execution ohne Authentifizierung (CVSS 9.8) in Oracle 12.2.3 bis 12.2.14. Da der Exploit-Code mittlerweile im Untergrund kursiert, sollten Nutzer dieser Versionen umgehend patchen.

Lösegeld für interne Unternehmensdaten

Die Sicherheitsexperten der Google Threat Intelligence Group (GTIG) und Mandiant schreiben nach einer Untersuchung der Sicherheitslücke und der Erpressungskampagne in einem Bericht, dass die Angreifer Hunderte, wenn nicht Tausende kompromittierte E-Mail-Konten angeschrieben haben. Darin drohen sie, interne Dokumente zu veröffentlichen, sollte das betroffene Unternehmen nicht bezahlen. Konkrete Geldforderungen gibt es beim ersten Kontakt keine, das wird üblicherweise erst nach Beantwortung verhandelt.

Die erbeuteten Daten sollen nach Veröffentlichung aber große finanzielle Verluste der Firmen nach sich ziehen, etwa Bußgelder von Aufsichtsbehörden und Umsatzrückgang nach Ansehensverlust. Die E-Business-Suite wird von Oracle-Kunden zur Verwaltung von Kunden, Lieferanten, Herstellung, Logistik und anderen Geschäftsprozessen verwendet, sodass der Zugriff darauf auch Geschäftsgeheimnisse preisgeben könnte.

Dutzende Opfer bekannt, aber wohl Hunderte betroffen

Auf Nachfrage von Reuters erklärte einer der Autoren des Google-Berichts, Austin Larsen, dass sie von Dutzenden Opfern wissen, aber von noch viel mehr ausgehen. „Angesichts des Ausmaßes früherer Clop-Kampagnen dürften es über hundert sein“, so Larsen weiter. Die Ransomware-Gang selbst hat zuvor nur erklärt, dass sich bald herausstellen wird, dass Oracle „sein Kernprodukt verwanzt“ habe.

2023 hatte Clop Unternehmen nach einer Sicherheitslücke in MOVEit erpresst. Dabei handelt es sich um Datenübertragungssoftware, die von zahlreichen Unternehmen eingesetzt wurde, vor allem Finanzinstituten. Denn kurz darauf wurde festgestellt, dass ING, Deutsche Bank und Co. wegen der MOVEit-Lücke doch stärker betroffen waren. Auch staatliche Stellen wie Ministerien blieben nicht verschont von der MOVEit-Lücke. Im selben Jahr veröffentlichte Clop Gesundheitsdaten von Millionen Menschen in den USA.

(fds)