Oracle EBS-hacket vokser dag for dag

Sagen om det omfattende cyberangreb mod brugere af Oracle E-Business Suite (EBS) udvikler sig hastigt og vokser dag for dag. Ifølge en opdatering fra SecurityWeek den 13. november 2025 er Storbritanniens National Health Service (NHS) nu blandt de seneste ofre, som er blevet navngivet af Cl0p-ransomwaregruppen på deres leak-site.

Sagen handler om hvordan trusselsaktører har udnyttet sårbarheder i EBS til at kompromittere organisationer og stjæle følsomme data. Med det seneste udvikling står det klart, at kampagnen har et langt større omfang end først antaget.

NHS bekræfter undersøgelse – men ingen data lækket endnu

En talsmand for NHS England sige til Security Week, at man er klar over, at "..NHS er blevet nævnt på et cyberkriminelt website som offer for et angreb, men der er ikke offentliggjort nogen data. Vores cybersikkerhedsteam arbejder tæt sammen med National Cyber Security Centre for at undersøge sagen.”

Selvom NHS endnu ikke har fået lækket data, ses det som værende bemærkelsesværdigt, at en central og samfundskritisk aktør er blandt de navngivne ofre.  NHS er nævnt på Dark Web, er dog ikke ensbetydende med, at organisationen har været ramt. Det er klassisk cyberkriminel modus operandi at bruge en sag til at klemme lidt mere ud af den og sprede panik.

Over 40 ofre – og flere kommer til

Siden kampagnen blev opdaget i begyndelsen af oktober, har Cl0p-gruppen løbende offentliggjort navne og data fra kompromitterede organisationer. Listen tæller nu over 40 navngivne ofre, og data fra mindst 25 af dem er allerede lækket.

Blandt de ramte organisationer finder vi:

• Harvard University
• Envoy Air (et datterselskab af American Airlines)
• Schneider Electric
• Emerson
• The Washington Post
• GlobalLogic (et datterselskab af Hitachi) GlobalLogic har bekræftet, at angriberne har fået adgang til omfattende HR-data for både nuværende og tidligere ansatte. Det inkluderer: Navne og kontaktoplysninger, fødselsdatoer og pasnumre, personnumre og bankkonti og løndata og ansættelsesoplysninger

Tavshed fra mange

En stor del af de navngivne organisationer har endnu ikke bekræftet, om de er ramt. Det kan skyldes igangværende undersøgelser, eller et bevidst valg om at undgå offentlighedens søgelys. Blandt de nævnte, men endnu ikke bekræftede, ofre er:

• Logitech
• Cox Enterprises
• Pan American Silver
• LKQ Corporation
• Copeland

Security Week skriver, at det ikke er usædvanligt, at organisationer vælger at forholde sig tavse i de tidlige faser af en hændelse, men det gør det naturligvis vanskeligt at vurdere det fulde omfang af kampagnen.

Et angreb på ERP-systemernes kerne

Oracle EBS er en udbredt ERP-platform, der anvendes til alt fra økonomistyring og HR til forsyningskæde og logistik. Det gør systemet til et attraktivt mål for trusselsaktører, der ønsker adgang til store mængder følsomme data.

I modsætning til traditionelle ransomwareangreb, hvor data krypteres, fokuserer denne kampagne på datatyveri og afpresning. Det betyder, at organisationer kan være kompromitteret uden at opdage det – indtil deres navn dukker op på et leak-site – og panikken kan brede sig.