Cyberangriffe auf Oracle: Clop-Gang nutzt Sicherheitslücke für massive Erpressungskampagne

Die jüngsten Erpressungsversuche, die aus einer Sicherheitslücke in Oracles E-Business-Suite hervorgegangen sind, haben eine Dimension erreicht, die Dutzende, wenn nicht sogar Hunderte von Unternehmen gleichermaßen betreffen könnte. Googles Sicherheitsexperten schätzen nach sorgfältiger Untersuchung dieser Kampagne, dass das Ausmaß der Invasion erheblich größer sein dürfte als zunächst angenommen. Hinter diesen Angriffen verbirgt sich die cyberkriminelle Gruppe Clop, die in der Vergangenheit bereits wiederholt als Ransomware-Gang in Erscheinung getreten ist und diverse Organisationen durch die Ausnutzung von Systemlücken erpresst hat. Nur vor wenigen Tagen hatte Oracle dringende Handlungsanweisungen zur Installation von Sicherheitsupdates herausgegeben, nachdem gemeldet wurde, dass Kunden der E-Business-Suite Opfer von Erpressung geworden waren. Ursprünglich ging der Hersteller von Lücken aus, die bereits seit Juli bestanden, reichte jedoch kurz darauf ein sogenanntes Emergency-Update ein. Diese Schwachstelle ermöglicht ohne Authentifizierung die Remote Code Execution (CVSS 9.8) in Oracle-Versionen zwischen 12.2.3 und 12.2.14. Da der Exploit-Code mittlerweile in kriminellen Kreisen kursiert, ist es von höchster Wichtigkeit, dass Nutzer dieser Versionen umgehend Patches installieren. Die Sicherheitsexperten der Google Threat Intelligence Group (GTIG) und Mandiant haben in einem detaillierten Bericht ihre Untersuchung der Sicherheitslücke sowie der Erpressungskampagne zusammengefasst. Sie berichten, dass die Angreifer Hunderte, wenn nicht sogar Tausende von kompromittierten E-Mail-Konten genutzt haben, um Unternehmen mit Drohungen zu kontaktieren. Darin warnen sie vor dem öffentlichen Release interner Dokumente, sollte das betroffene Unternehmen nicht zahlen. Konkrete Geldforderungen werden jedoch zunächst nicht genannt und erst nach Beantwortung der Nachrichten verhandelt. Die erbeuteten Daten sollen nach dieser Veröffentlichung schwere finanzielle Folgen für die Opfer haben, da Clop damit Druck aufbauen möchte, um Zahlungen zu erzwingen. Der Autor des Google-Berichts, Austin Larsen, betont, dass seine Erkenntnisse auf Dutzenden identifizierten Opfern basieren, er geht jedoch von einem deutlich größeren Ausmaß aus, möglicherweise über hundert Betroffenen. Angesichts der bisherigen Ausdehnung früherer Operationen der Ransomware-Gruppe Clop erscheint diese Annahme plausibel. Die Gang selbst hat zuvor nur andeutungsweise geäußert, dass bald offenbar werden würde, Oracle habe sein Kernprodukt praktisch verwanzt.

Schlagwörter: Clop + Oracle + Oracles

Wie bewerten Sie den Schreibstil des Artikels?