Oracle-Anwendungen Ziel neuer Ransomware-Kampagne

Wie Bloomberg am 2. Oktober 2025 berichtet, bestätigt Oracle, dass Hacker gezielt Daten der E-Business Suite für Erpressungskampagnen ins Visier nehmen.

Eine Ransomware-Gruppe, die nach eigenen Angaben mit der kriminellen Vereinigung Cl0p verbunden ist, behauptet, Daten aus verschiedenen Oracle-Anwendungen, darunter der E-Business Suite, entwendet zu haben. Diese Anwendungen steuern zentrale Geschäftsprozesse wie Finanz-, Lieferketten- und Kundenbeziehungsmanagement. Die Täter fordern Lösegeld von bis zu 50 Millionen US-Dollar und legten den Opfern Beweise wie Screenshots und Dateibäume vor. Mindestens ein Unternehmen bestätigte bereits den Diebstahl von Daten aus seinen Oracle-Systemen.

Nach Angaben des Cybersicherheitsunternehmens Halcyon begannen die Erpressungsversuche spätestens am 29. September. Die Angreifer versendeten E-Mails von kompromittierten Drittanbieter-Konten und nutzten dabei auch die Standardfunktion zum Zurücksetzen von Passwörtern, um Zugang zu den Oracle-E-Business-Portalen zu erhalten.

„Cl0p hat in den vergangenen Tagen Lösegeldforderungen in Millionenhöhe gestellt“, sagte Cynthia Kaiser, Vizepräsidentin des Ransomware-Forschungszentrums von Halcyon. Die Gruppe sei bekannt für groß angelegte, verdeckte Datendiebstähle, mit denen sie ihre Position in Verhandlungen stärke.

Laut Genevieve Stark, Leiterin der Abteilung für Cyberkriminalität bei der Google Threat Intelligence Group, wiesen die versendeten Erpressungs-E-Mails sprachliche Fehler auf, die für die Gruppe typisch seien. Mindestens eine der verwendeten Adressen sei zuvor in Verbindung mit Cl0p aufgetreten. Google betonte, derzeit keine ausreichenden Belege für die Richtigkeit der Behauptungen zu haben.

Oracle reagierte bislang nicht auf Anfragen zur Stellungnahme.

Cl0p ist bereits durch frühere Angriffe auf Unternehmen und Organisationen aufgefallen. Im Jahr 2023 nutzte die Gruppe Schwachstellen in der Dateiübertragungssoftware MOVEit aus und erlangte nach eigenen Angaben Zugriff auf Daten von Hunderten von Organisationen, darunter Shell, British Airways und die BBC.

Cyberangriff: Clop-Gruppe soll hinter E-Mail-Flut an Oracle-Kunden stehen

CyberScoop berichtete am 1. Oktober 2025 über eine Serie von E-Mails, die an Kunden von Oracle verschickt wurden. Darin behaupten die Absender, Daten aus der E-Business Suite des Unternehmens gestohlen zu haben. Nach Einschätzung von Forschern könnte die Ransomware-Gruppe Clop hinter der Kampagne stehen.

Bislang sei jedoch unklar, ob die Vorwürfe zutreffen. Mehrere Untersuchungen betroffener Oracle-Umgebungen laufen noch. „Wir beobachten derzeit eine groß angelegte E-Mail-Kampagne, die von Hunderten kompromittierten Konten aus gestartet wurde“, sagte Charles Carmakal, CTO von Mandiant Consulting, gegenüber CyberScoop. Die Nachrichten enthielten Kontaktinformationen, die nach Angaben der Experten auch auf der Clop-Leak-Seite öffentlich zu finden seien.

Clop selbst hat die Vorwürfe bislang nicht auf seinen Leak-Webseiten veröffentlicht. Oracle reagierte zunächst nicht auf eine Anfrage zur Stellungnahme.

Nach Angaben von Genevieve Stark, Leiterin der Abteilung für Cyberkriminalität bei Googles Threat Intelligence Group, werden seit dem 29. September gezielte E-Mails an Führungskräfte verschickt. Auch hier sei unklar, ob die Drohungen glaubwürdig seien und auf welchem Weg Angreifer möglicherweise Zugang erhalten hätten. Zwar ähnelten Taktik und Absender-Adressen früheren Clop-Aktivitäten, doch gebe es bisher keinen endgültigen Beleg für die Täterschaft der Gruppe.

Clop gilt als eine der aktivsten Ransomware-Gruppen weltweit. 2023 machte sie mit der Ausnutzung einer Schwachstelle in MOVEit-Umgebungen Schlagzeilen, bei der Daten von über 2.300 Organisationen kompromittiert wurden.

Wie GTIG-Analyst Austin Larsen erklärte, stammen die aktuellen Erpressungs-E-Mails von zahlreichen kompromittierten Drittanbieter-Konten auf legitimen Webseiten. Konkrete Forderungen seien bislang nicht gestellt worden; vielmehr sollen die Empfänger unter Druck gesetzt werden, den Kontakt zu den Angreifern aufzunehmen.

„Die wichtigsten Indikatoren für die laufende Kampagne sind die Erpressungs-E-Mails selbst sowie die Verwendung von Adressen, die mit der Clop-Leak-Seite verbunden sind“, sagte Stark. Hinweise auf eine tatsächliche Datenverletzung oder den Einsatz bestimmter Schadsoftware gebe es bislang nicht.

Die Ermittlungen konzentrieren sich derzeit darauf, ob Angreifer tatsächlich Zugriff auf die Oracle E-Business Suite erlangen konnten und in welchem Ausmaß Kunden betroffen sein könnten.

Mehr zum Schmökern

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky