Oracle EBS-hack: Cl0p offentliggør navne på 29 ofre

Årets mest omtalt hack har nu fået navne på. 

Ifølge SecurityWeek har den notoriske Cl0p-ransomwaregruppe offentliggjort en liste med 29 organisationer, der angiveligt er blevet kompromitteret i den målrettede kampagne, der begyndte i slutningen af september og fortsatte langt ind i oktober og måske stadig er i gangværende.

Angrebet tilskrives trusselsaktøren FIN11, som tidligere har været forbundet med Cl0p og en række højprofilerede angreb mod filoverførselsprodukter som MOVEit og Fortra. Denne gang var målet Oracle EBS – en ERP-løsning, der anvendes globalt til økonomistyring, HR og logistik.

Kampagnen blev indledt med afpresningsmails sendt direkte til ledere i de berørte organisationer. Kort efter begyndte Cl0p at offentliggøre navne og data på sin leak-site – en taktik, der har været effektiv i tidligere angreb, hvor tavshed fra ofrene ofte har været normen.

Prominente navne

Listen indeholder navne på institutioner, som man normalt finder på andre mere positivt ladede opgørelser end dem på Dark Web, nemlig 

• Harvard University
• The Washington Post
• Logitech
• Cox Enterprises
• Pan American Silver
• LKQ Corporation
• Copeland

Flere af de nævnte har bekræftet kompromittering, herunder Harvard og Envoy Air (som er et datterselskab af American Airlines). The Washington Post har bekræftet angrebet, men har ikke delt detaljer. De fleste øvrige organisationer har valgt tavshed – en strategi, der ifølge SecurityWeek kan skyldes igangværende undersøgelser eller et ønske om at undgå medieopmærksomhed.

Datalæk i stor skala

Cl0p har allerede offentliggjort data fra 18 af ofrene. I flere tilfælde drejer det sig om hundredvis af gigabyte – og i enkelte tilfælde flere terabyte. En strukturel analyse af filerne indikerer, at de stammer fra Oracle-miljøer, hvilket styrker mistanken om, at EBS-platformen er blevet kompromitteret.

Det er endnu uklart, hvilke sårbarheder der er blevet udnyttet, men to kandidater har været nævnt :

• EUVD-2025-32142 / CVE-2025-61882 – udnyttet som 0-dagssårbarhed i mindst to måneder før patch.  CVSS-score 9,8, EPSS-score pt. 81,1 pct. 
• EUVD-2025-33878 / CVE-2025-61884 – kan udnyttes uden autentificering eller brugerinteraktion. CVSS-score 7,5, EPSS-score pt. 31,23 pct. 

Sårbarhederne gør det muligt for angribere at få adgang til følsomme data direkte fra EBS-instansen – en metode, der er særligt effektiv i miljøer med mange integrerede systemer og automatiserede processer.

EPSS-scoren for begge sårbarheder er steget betragteligt siden de første gang blev registreret og omtalt.

Tavshedens pris

SecurityWeek har forsøgt at få kommentarer fra flere af de berørte virksomheder – herunder Schneider Electric, Emerson og Pan American Silver – men ingen har svaret. Det er ikke usædvanligt, at organisationer forsøger at undgå offentlig opmærksomhed i sådanne sager, men det rejser spørgsmål om gennemsigtighed og ansvar.

Cl0p har tidligere vist, at de ikke tøver med at offentliggøre store mængder data, hvis ofrene ikke samarbejder. I dette tilfælde er det sandsynligt, at flere læk vil følge, efterhånden som forhandlinger mislykkes eller stilstand indtræder.

Med navne på 18 offentliggjorte ofre kan man måske antage, at 11 ofre er gået i forhandlinger med Cl0p eller er ved at købe sig tid.