Eine aggressive Phishing-Welle bedroht Führungskräfte weltweit: Die berüchtigte Cybercrime-Gruppe Cl0p fordert Millionen-Summen von Unternehmen, die Oracle E-Business Suite nutzen. Die Erpresser behaupten, sensible Daten gestohlen zu haben.

Seit Ende September 2025 bombardieren Kriminelle Geschäftsführer und Vorstände mit Drohungen. In den E-Mails, die von hunderten gekaperten Accounts verschickt werden, behaupten die Angreifer, in Oracle-Systeme eingedrungen zu sein und brisante Unternehmensdaten erbeutet zu haben. Die Lösegeldforderungen reichen bis zu 50 Millionen Dollar – umgerechnet etwa 45 Millionen Euro.

Sicherheitsforscher von Google und Mandiant sehen deutliche Verbindungen zur russischsprachigen Cl0p-Gruppe und der Cybercrime-Organisation FIN11. Beide sind für ihre verheerenden Angriffe auf Datentransfer-Tools bekannt, die bereits tausende Unternehmen weltweit trafen.

Bedrohliche E-Mail-Flut setzt Unternehmen unter Druck

Die Erpresser gehen dabei besonders aggressiv vor. In ihren Nachrichten – gespickt mit gebrochenem Englisch – drohen sie damit, gestohlene Daten zu veröffentlichen, falls nicht gezahlt wird. "Die Uhr tickt", warnen die Kriminellen und bieten als "Beweis" Datenproben an.

Was die Drohungen besonders glaubwürdig macht: Die in den E-Mails genannten Kontaktdaten stehen öffentlich auf Cl0ps bekannter Leak-Website. Ein klares Indiz für die Urheberschaft der gefürchteten Gruppe.

Oracle bestätigt Bedrohung – Schwachstelle identifiziert

Oracle reagierte am Donnerstag auf die Erpressungsversuche. Das Unternehmen bestätigte, von den Droh-E-Mails an seine E-Business Suite-Kunden zu wissen. Die laufenden Untersuchungen hätten "den möglichen Missbrauch bereits identifizierter Schwachstellen" aufgedeckt, erklärte Sicherheitschef Rob Duhart.

Diese Schwachstellen wurden bereits im Juli 2025 durch ein kritisches Sicherheitsupdate behoben. Das deutet darauf hin: Die Angreifer nutzen ungepatchte Systeme für ihre Erpressung aus. Ob tatsächlich Kundendaten gestohlen wurden, ließ Oracle offen.

Die Ermittler vermuten, dass die Kriminellen kompromittierte E-Mail-Accounts missbrauchten und Passwort-Reset-Funktionen ausnutzten, um gültige Zugangsdaten zu Oracle-Portalen zu erlangen. Diese Methode unterscheidet sich von Cl0ps üblicher Taktik, Zero-Day-Schwachstellen zu nutzen.

Moderne Erpressung: Mehr als nur Ransomware

Dieser Angriff zeigt die Entwicklung moderner Cyberkriminalität. Statt nur Daten zu verschlüsseln, setzen die Gruppen heute auf mehrschichtige Strategien: Datendiebstahl, öffentliche Leak-Drohungen, DDoS-Attacken und direkter Kontakt zu Kunden der Opfer.

Phishing hat sich 2025 zum wichtigsten Einfallstor für Ransomware entwickelt – ein Trend, der sich in diesem Fall bestätigt.
Anzeige: Gerade weil Phishing-Mails oft zuerst auf dem Smartphone landen: Schützen Sie Ihr Android gezielt vor Datendieben. Der kostenlose Ratgeber zeigt die 5 wichtigsten Maßnahmen – Schritt für Schritt und ohne teure Zusatz-Apps, inklusive Tipps für WhatsApp, Online-Shopping, PayPal und Online-Banking. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Cl0p kann auf eine "erfolgreiche" Bilanz verweisen: Ihr Angriff auf die MOVEit-Software 2023 betraf fast 2.800 Organisationen und die Daten von 96 Millionen Menschen. Die geschätzten Lösegelder lagen zwischen 75 und 100 Millionen Dollar. Diese Erfolgsbilanz verleiht ihren aktuellen Drohungen Glaubwürdigkeit.

Wettlauf gegen die Zeit für ungeschützte Systeme

Die Untersuchungen stehen erst am Anfang. Oracle und Sicherheitsfirmen arbeiten daran, das Ausmaß des Angriffs zu ermitteln und die Behauptungen der Erpresser zu überprüfen.

Unternehmen mit Oracle E-Business Suite sollten das Juli-Update sofort installieren. Der Fall unterstreicht die anhaltende Bedrohung durch Gruppen wie Cl0p und FIN11, die Phishing-Attacken mit aggressiven Erpressungstaktiken kombinieren.

Während die Ermittlungen laufen, bleibt die entscheidende Frage: Haben die Hacker wirklich Daten gestohlen – oder bluffen sie nur? Die Antwort könnte darüber entscheiden, ob Unternehmen mit einer der erfolgreichsten Cyber-Erpressungsgruppen der Welt verhandeln müssen.