Det begynte med en e-post i innboksen til toppledere verden over. Avsenderen hevdet å sitte på sensitive forretningsdata, stjålet fra selskapets Oracle E-Business Suite. Betal, eller dataene havner på nett. Bak truslene sto utpressingsmerket Cl0p, og sårbarheten de hadde brukt var en nulldag med høyest tenkelige alvorlighetsgrad. CVE-2025-61882 fikk en CVSS-score på 9.8 og lar en angriper kjøre kode uten å logge inn i det hele tatt. Innen midten av november 2025 hadde Cl0p navngitt 29 ofre på lekkasjesiden sin, deriblant Harvard University og The Washington Post.
Dette er anatomien til et moderne masseutpressingsangrep, og det treffer en programvarekategori få snakker om, men som driver lønn, regnskap og innkjøp i tusenvis av store virksomheter, også i Norge og Norden. Denne analysen går gjennom hva som skjedde med Oracle E-Business Suite, hvordan sårbarheten fungerer, hvem som står bak, og hva nordiske virksomheter bør gjøre nå.
Dette skjedde: Cl0p utnyttet en nulldagssårbarhet i Oracle EBS
I begynnelsen av oktober 2025 ble det offentlig kjent at utpressingsgruppen Cl0p hadde utnyttet en tidligere ukjent sårbarhet i Oracle E-Business Suite (EBS), Oracles store pakke for ERP, økonomi og forsyningskjede. Angrepet fulgte et mønster Cl0p har perfeksjonert: finn ett hull i en bedriftsprogramvare som mange organisasjoner eksponerer mot internett, stjel data i stor skala, og press deretter ofrene for penger gjennom e-post og en lekkasjeside.
Google Threat Intelligence Group (GTIG) og Mandiant beskrev kampanjen som en storstilt utpressingsoperasjon utført av en finansielt motivert aktør som opererer under CL0P-merket. Ifølge Googles analyse begynte utpressingsmeldingene til ofre 29. september 2025. Sårbarheten ble formelt tildelt identifikatoren CVE-2025-61882, og Oracle bekreftet at den lot seg utnytte over nettverk uten autentisering.
Det som gjør hendelsen alvorlig er kombinasjonen av tre faktorer. For det første rammer den selve ryggraden i forretningsdriften: Oracle EBS holder på personaldata, leverandøravtaler, fakturaer og finansielle poster. For det andre var det en nulldag, altså et hull uten tilgjengelig oppdatering på utnyttelsestidspunktet. For det tredje sto en gruppe bak som har bevist gang på gang at den kan industrialisere slike angrep mot hundrevis av mål samtidig.
CVE-2025-61882: en CVSS 9.8 pre-auth RCE forklart
CVE-2025-61882 er det tekniske hjertet i hele saken. Sårbarheten ligger i Oracle Concurrent Processing-komponenten i Oracle E-Business Suite og har en CVSS 3.1-score på 9.8, klassifisert som kritisk. Vektoren AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H forteller hele historien på kort form: angrepet kan utføres over nettverk (AV:N), krever lav kompleksitet (AC:L), ingen rettigheter (PR:N) og ingen brukerinteraksjon (UI:N), med full påvirkning på konfidensialitet, integritet og tilgjengelighet.
Oversatt til klartekst: en angriper på internett kan ta full kontroll over en sårbar Oracle EBS-installasjon uten å kjenne et eneste passord. Det er denne kombinasjonen, fjernutnyttelse uten autentisering som gir kjøring av vilkårlig kode, som sikkerhetsforskere omtaler som det verste utgangspunktet et forsvar kan ha. Berørte versjoner spenner fra 12.2.3 til 12.2.14.
Hva angrepskjeden faktisk gjør
CVE-2025-61882 er ikke ett enkelt programmeringsfeilsteg, men en kjede av svakheter som lenkes sammen. Sikkerhetsanalyser fra blant andre Rapid7 og Censys beskriver en pre-auth RCE-kjede som utnytter teknikker som server-side request forgery (SSRF), path traversal, XML External Entity (XXE), CRLF-injeksjon og omgåelse av autentisering. Hvert ledd i kjeden er en kjent klasse av webfeil, men satt sammen gir de en angriper en rett vei fra det åpne internettet og inn til kodekjøring på serveren.
Censys målte tidlig i oktober 2025 at 2 043 Oracle E-Business Suite-instanser var direkte tilgjengelige fra internett. Det er det eksponerte angrepsflatebildet: hver av disse var et potensielt mål så lenge oppdateringen ikke var på plass. Tallet illustrerer et bredere problem, nemlig at tunge forretningssystemer som egentlig hører hjemme bak flere lag med segmentering, ofte ender opp eksponert for nettet av praktiske grunner.
CVE-2025-61884 og de andre hullene
CVE-2025-61882 fikk mest oppmerksomhet, men den var ikke alene. Kort tid etter ble CVE-2025-61884 offentliggjort, en separat sårbarhet i Oracle E-Business Suite (knyttet til Configurator-komponenten) med CVSS-score 7.5. Også denne kan utnyttes eksternt uten autentisering og kan gi uautorisert tilgang til konfigurasjonsdata. Den inngår etter tilgjengelige kilder ikke i samme eksploit-kjede som 61882, men understreker at angrepsflaten i EBS var bredere enn ett enkelt hull.
| CVE | CVSS 3.1 | Komponent | Type | Krav |
|---|---|---|---|---|
| CVE-2025-61882 | 9.8 (kritisk) | Concurrent Processing | Pre-auth RCE | Ingen autentisering |
| CVE-2025-61884 | 7.5 (kritisk) | Configurator | Uautorisert datatilgang | Ingen autentisering |
Tidslinje: fra eksploit-salg i juni til utpressing i oktober
Hendelsesforløpet rundt Oracle E-Business Suite-bruddet strekker seg over flere måneder, og det viser hvor lenge en avansert aktør kan operere før et angrep blir synlig. Allerede i juni 2025 ble det ifølge sikkerhetsrapportering annonsert et Oracle EBS-nulldagseksploit til salgs på et kriminelt forum for rundt 70 000 dollar. Den brede utpressingsbølgen traff først virksomhetene utover høsten.
| Dato | Hendelse |
|---|---|
| Juni 2025 | Et Oracle EBS-nulldagseksploit annonseres til salgs for ca. 70 000 dollar på kriminelt forum (rapportert) |
| August 2025 | Cl0p-relatert aktivitet mot Oracle EBS spores tilbake til denne perioden |
| 29. september 2025 | Cl0p begynner å sende utpressings-e-poster til ofre, ifølge Google Threat Intelligence Group |
| 4. oktober 2025 | Oracle publiserer sikkerhetsvarsel og en hasteoppdatering for CVE-2025-61882 |
| 6. oktober 2025 | CISA legger CVE-2025-61882 inn i katalogen over kjente utnyttede sårbarheter (KEV) |
| Oktober 2025 | CVE-2025-61884 (CVSS 7.5) offentliggjøres som en ytterligere EBS-sårbarhet |
| 17. november 2025 | Cl0p har navngitt 29 påståtte ofre på lekkasjesiden, ifølge offentlig rapportering |
| Januar 2026 | Utpressingskrav fra kampanjen fortsetter å nå ofre måneder etter første innbrudd |
Hvem er Cl0p, og hvorfor masseutnyttelse fungerer
Cl0p (også skrevet Clop) er ingen nykommer. Gruppen, som av flere etterretningsmiljøer er knyttet til russisktalende kriminelle nettverk, har i årevis spesialisert seg på det som kalles masseutnyttelse av filoverførings- og forretningsprogramvare. Forretningsmodellen er enkel og brutalt effektiv: i stedet for å bryte seg inn i ett selskap av gangen, finner gruppen en enkelt sårbarhet i et produkt som mange organisasjoner bruker, og høster deretter data fra alle de når frem til på kort tid.
Et viktig trekk ved Oracle EBS-kampanjen, og ved flere av Cl0ps nyere angrep, er at gruppen ikke nødvendigvis krypterer ofrenes systemer slik tradisjonell løsepengevirus gjør. I stedet stjeler de data og bruker trusselen om publisering som pressmiddel. Det gjør angrepet vanskeligere å oppdage i sanntid, fordi systemene fortsetter å virke som normalt mens dataene allerede er ute av huset. For et offer betyr det ofte at den første indikasjonen på et brudd er en e-post fra utpresserne selv.
Denne dataekstorteringen uten kryptering er en utvikling resten av trusselbildet beveger seg mot. Når selve låsingen av filer faller bort, forsvinner også et av de tydeligste varslene et offer historisk har hatt. Det legger desto større vekt på å oppdage unormal datautførsel og uautorisert tilgang før utpresseren rekker å sende sin første melding.
29 navngitte ofre: Harvard, Washington Post og flere
Innen 17. november 2025 hadde Cl0p navngitt 29 påståtte ofre på lekkasjesiden sin, ifølge offentlig rapportering. Det er verdt å være presis med språket her, fordi det er forskjell på å bli oppført på en lekkasjeside, å bli omtalt i media og selv å bekrefte et brudd. Tabellen under skiller mellom disse nivåene for et utvalg av de mest omtalte navnene.
| Organisasjon | Status i offentlig rapportering | Sektor |
|---|---|---|
| Harvard University | Oppført på lekkasjeside, bekreftet å være rammet | Utdanning |
| The Washington Post | Oppført på lekkasjeside, bekreftet å være angrepet | Media |
| Logitech | Oppført/rapportert på lekkasjeside | Teknologi/maskinvare |
| Cox Enterprises | Oppført/rapportert på lekkasjeside | Telekom/media |
| Schneider Electric | Oppført/rapportert på lekkasjeside | Industri/energi |
At både et eliteuniversitet, en av verdens mest kjente avisredaksjoner og et globalt industrikonsern ender på samme liste sier noe om hvor vilkårlig masseutnyttelse rammer. Cl0p velger ikke ofre etter bransje eller geografi. De velger etter hvem som tilfeldigvis kjørte en sårbar versjon av programvaren, eksponert mot nettet, i det vinduet hvor eksploitet var aktivt. Det er en påminnelse om at risikoen ikke handler om hvor interessant du er som mål, men om hvilke systemer du eksponerer.
Hva Google Threat Intelligence og Mandiant sier
Den tydeligste tilskrivingen i saken kom fra Google. Google Threat Intelligence Group og Mandiant knyttet aktiviteten til CL0P-merket og beskrev en finansielt motivert aktør bak en storstilt utpressingskampanje. Charles Carmakal, teknologidirektør (CTO) i Mandiant ved Google Cloud, uttalte offentlig at «Clop har sendt utpressings-e-poster til flere ofre siden i forrige mandag», en bekreftelse på at e-postbølgen var i full gang da angrepet ble kjent.
Googles analyse la også til en nyanse som er viktig for risikovurderingen: på publiseringstidspunktet hadde GTIG ennå ikke observert ofre fra kampanjen på Cl0ps lekkasjeside, og selskapet påpekte at Cl0p ofte venter uker før de publiserer stjålne data. Det betyr at antallet kjente ofre i de første ukene nesten alltid undervurderer det reelle omfanget. Mønsteret med forsinket publisering er en del av pressetaktikken: jo lenger et offer lever i uvisshet, desto sterkere er insentivet til å betale.
At det er nettopp Mandiant og Google som leder analysen er ikke tilfeldig. Etter at Google styrket sin posisjon i skysikkerhetsmarkedet, har konsernets trusseletterretning blitt en av de mest siterte stemmene når store hendelser bryter. Det gir kampanjen ekstra synlighet, men reiser også spørsmål om hvor konsentrert markedet for trusseletterretning er i ferd med å bli.
Oracles respons og CISAs KEV-oppføring
Oracle reagerte med å publisere et eget sikkerhetsvarsel og en hasteoppdatering for CVE-2025-61882 den 4. oktober 2025, utenom den ordinære kvartalsvise oppdateringssyklusen. At en leverandør slipper en patch utenfor plan er i seg selv et signal om alvoret: det skjer typisk bare når en sårbarhet allerede utnyttes aktivt i felten.
To dager senere, 6. oktober 2025, la den amerikanske cybersikkerhetsmyndigheten CISA CVE-2025-61882 inn i sin Known Exploited Vulnerabilities-katalog (KEV). KEV-oppføring er ikke bare symbolsk. For amerikanske føderale etater utløser den en juridisk frist for å oppdatere, og for resten av verden fungerer katalogen som en de facto prioriteringsliste: hvis en sårbarhet står på KEV, vet du at den ikke er teoretisk, men aktivt misbrukt akkurat nå.
For virksomheter som kjører Oracle EBS er rådet entydig. Installer Oracles oktober-oppdateringer umiddelbart, kartlegg om EBS-instanser er eksponert mot internett, og let etter tegn på kompromittering bakover i tid, ettersom angrepet kan ha skjedd uker før utpressings-e-posten kom. Det siste punktet er avgjørende: en oppdatering stopper fremtidig utnyttelse, men fjerner ikke data som allerede er stjålet.
Konsekvenser for Norge og Norden
Ingen av de 29 første navngitte ofrene var norske eller nordiske, men det gir ingen grunn til å puste lettet ut. Oracle E-Business Suite er utbredt i store nordiske konsern, offentlig sektor og industriselskaper som bruker pakken til økonomi, lønn og innkjøp. Eksponeringen Censys målte globalt, over to tusen internett-tilgjengelige instanser, omfatter også europeiske systemer. Risikoen for nordiske virksomheter er derfor reell, ikke hypotetisk.
For norske virksomheter kommer hendelsen i en periode hvor regelverket strammes inn. Med innføringen av NIS2-direktivet og den norske digitalsikkerhetsloven får tusenvis av virksomheter nye krav til risikostyring og varsling av alvorlige hendelser. Et brudd via Oracle EBS som lekker personopplysninger vil i tillegg utløse meldeplikt etter personvernforordningen (GDPR). Kombinasjonen av aktiv utnyttelse, sensitive data og strengere rapporteringskrav gjør ERP-sikkerhet til et styrerommstema, ikke bare et IT-anliggende.
Det nordiske trusselbildet har dessuten allerede vist seg sårbart det siste året, fra statlig tilskrevne angrep mot kritisk infrastruktur til en jevn strøm av cyberhendelser på tvers av regionen. Oracle EBS-saken føyer seg inn i et mønster der den svakeste lenken ofte er ett eksponert, uoppdatert forretningssystem som ingen helt har ansvaret for.
Markedseffekt: ERP-sikkerhet under press
Cl0p-kampanjen mot Oracle E-Business Suite forsterker en trend sikkerhetsbransjen har sett bygge seg opp i flere år: angriperne flytter fokus fra endepunkter og e-post til de store, tunge forretningsapplikasjonene. ERP-systemer, filoverføringsverktøy og andre sentrale plattformer har lenge vært underprioritert i sikkerhetsbudsjettene, nettopp fordi de oppleves som stabile og «interne». Cl0p har gjort det til en forretningsmodell å bevise det motsatte.
Markedsmessig peker dette mot økt etterspørsel etter angrepsflatehåndtering (ASM), kontinuerlig kartlegging av eksponerte tjenester og raskere oppdateringssykluser for forretningskritisk programvare. For leverandører som Oracle øker presset for å levere sikkerhetsoppdateringer hyppigere enn den tradisjonelle kvartalsvise rytmen, særlig når en nulldag allerede utnyttes. For kjøperne betyr det at sikkerhet i økende grad blir et kriterium ved valg og fornyelse av ERP-kontrakter.
Ifølge Reuters, som siterer sikkerhetsselskapet Halcyon, har løsepengekrav i Oracle EBS-kampanjen ligget på opptil 50 millioner dollar. Selv om hvert enkelt krav forhandles og sjelden bekreftes offentlig, illustrerer størrelsesordenen hvorfor masseutpressing er blitt en så lønnsom forretning. Når én sårbarhet kan gi tilgang til titalls organisasjoner samtidig, blir avkastningen per utviklet eksploit enorm.
Slik beskytter du Oracle EBS mot utnyttelse
Forsvaret mot denne typen angrep handler om tre ting: patch raskt, reduser eksponering og oppdag datautførsel. Sjekklisten under oppsummerer tiltakene sikkerhetsmiljøene har anbefalt etter Oracle EBS-bruddet.
- Installer Oracles oktober 2025-oppdateringer for CVE-2025-61882 og CVE-2025-61884 umiddelbart, på samtlige EBS-instanser.
- Kartlegg om Oracle EBS er tilgjengelig fra internett, og fjern unødvendig eksponering bak brannmur, VPN eller segmentering.
- Gjennomfør retrospektiv jakt på kompromittering (threat hunting), ettersom angrepet kan ha skjedd uker før det ble synlig.
- Overvåk for unormal utgående datatrafikk og uautoriserte filnedlastinger fra EBS-servere.
- Forbered varslingsrutiner etter GDPR og NIS2/digitalsikkerhetsloven i tilfelle personopplysninger er berørt.
For team som vil sjekke om en EBS-instans er nådd fra utsiden, er et enkelt utgangspunkt å verifisere hvilke tjenester som faktisk svarer på offentlige IP-adresser før man går videre med dypere logganalyse.
# Sjekk om en Oracle EBS-tjeneste svarer paa en offentlig adresse
# (kun for systemer du selv har autorisasjon til aa teste)
curl -s -o /dev/null -w '%{http_code}\n' https://ebs.eksempel.no/OA_HTML/AppsLogin
# Kartlegg aapne porter mot egen EBS-vert
nmap -p 80,443,8000 ebs.eksempel.noEt viktig forbehold: en patch lukker døren for fremtidig misbruk, men den gjenoppretter ikke data som allerede er stjålet. Derfor må oppdatering alltid følges av en vurdering av om systemet allerede er kompromittert. Mer om hvordan slike brudd oppstår og hva de koster, finner du i vår gjennomgang av datalekkasjer og hvordan du beskytter deg.
Cl0p sammenlignet med tidligere masseangrep: MOVEit, GoAnywhere og Cleo
Oracle EBS-kampanjen er langt fra Cl0ps første masseutnyttelse. Gruppen har gjentatte ganger funnet og utnyttet sårbarheter i programvare for filoverføring og forretningsdrift, og hver gang har mønsteret vært det samme: én kritisk feil, mange ofre, og utpressing uten nødvendigvis å kryptere. Tabellen under setter Oracle EBS inn i denne historikken.
| Kampanje | År | Utnyttet programvare | Metode | Omfang (rapportert) |
|---|---|---|---|---|
| Accellion FTA | 2020-2021 | Accellion File Transfer Appliance | Datatyveri og utpressing | Titalls organisasjoner |
| GoAnywhere MFT | 2023 | Fortra GoAnywhere | Nulldag, datatyveri | Over hundre organisasjoner |
| MOVEit Transfer | 2023 | Progress MOVEit | Nulldag, masseutpressing | En av de største kampanjene noensinne |
| Cleo | 2024 | Cleo filoverføringsverktøy | Nulldag, datatyveri | Flere titalls organisasjoner |
| Oracle EBS | 2025 | Oracle E-Business Suite | Pre-auth RCE (CVE-2025-61882) | 29 navngitte ofre per nov. 2025 |
Sammenligningen avslører en læringskurve hos angriperne. Fra Accellion til MOVEit til Oracle EBS har Cl0p beveget seg fra relativt smale filoverføringsprodukter til selve kjernen i forretningsdriften. Hvert steg har gitt tilgang til mer sensitive data og dermed sterkere pressmiddel. Det er en utvikling som speiler hvordan kompromittering av leverandørkjeden og sentrale plattformer er blitt det foretrukne angrepspunktet, slik vi også så i F5 BIG-IP-bruddet der kildekode og sårbarhetsinformasjon ble stjålet.
Historisk kontekst: utpressing uten kryptering
For å forstå hvorfor Oracle EBS-saken er representativ for 2026, må man se på hvordan løsepengeøkonomien har endret seg. I de tidlige årene handlet løsepengevirus om å kryptere filer og selge tilbake nøkkelen. Den modellen møtte motstand: bedre sikkerhetskopier gjorde at mange ofre kunne gjenopprette uten å betale. Svaret fra de kriminelle ble dobbel utpressing, der data først stjeles og deretter trues med publisering.
Cl0p har tatt dette ett skritt videre og i flere kampanjer droppet krypteringen helt. Når data allerede er ute, spiller det mindre rolle om offeret har gode sikkerhetskopier. Trusselen om å lekke kundeinformasjon, personaldata eller forretningshemmeligheter er pressmiddel nok i seg selv. Denne dreiningen gjør tradisjonelt forsvar, som fokuserer på å hindre kryptering og gjenopprette fra backup, mindre effektivt. Tyngdepunktet flyttes til å hindre selve datautførselen og til å oppdage inntrenging tidlig.
Konteksten forklarer også hvorfor masseutnyttelse av én bredt utbredt programvare er blitt gullstandarden for grupper som Cl0p. Det er en industriell tilnærming til kriminalitet: utvikle eller kjøp ett godt eksploit, automatiser innhøstingen, og la volumet gjøre jobben. Oracle E-Business Suite var bare det siste store målet, og neppe det siste.
Fem spådommer for ERP-sikkerhet i 2026
Basert på utviklingen rundt Oracle EBS og Cl0ps historikk peker noen klare tendenser seg ut for det kommende året. Spådommene under er analyse, ikke fasit, men de bygger på mønstre som allerede er godt dokumentert.
- Flere nulldager i forretningsplattformer. Angriperne har sett hvor lønnsomt ERP- og forsyningskjedeprogramvare er, og vil lete videre etter sårbarheter i tunge bedriftssystemer fremfor klassiske endepunkter.
- Utpressing uten kryptering blir normen. Rent datatyveri uten låsing av filer vil dominere, fordi det er vanskeligere å oppdage og omgår verdien av sikkerhetskopier.
- Lengre eksponeringsvinduer kommer for dagen. Etterforskning vil avdekke at flere ofre ble kompromittert måneder før de fikk vite det, slik mønsteret med forsinket publisering allerede antyder.
- Regelverk strammer grepet i Norden. NIS2 og digitalsikkerhetsloven vil gjøre meldeplikt og dokumentert risikostyring til konkrete krav, og brudd via systemer som Oracle EBS blir et tilsynstema.
- Angrepsflatehåndtering blir standardutstyr. Kontinuerlig kartlegging av hva som er eksponert mot internett går fra «kjekt å ha» til en grunnleggende kontroll i sikkerhetsprogrammet.
Related Coverage
- F5 BIG-IP-bruddet: kildekode stjålet i 12 måneder
- Salt Typhoon i Norge: PST bekrefter Kina-angrep
- Norden: 166 cyberhendelser og hvem som tar ansvaret
- NIS2 i Norge: 5 000 virksomheter og nye bøter
- Datalekkasjer: hvordan de skjer og hvordan du beskytter deg
- Nettsikkerhet: den store guiden til datalekkasjer, passord og HTTPS
Ofte stilte spørsmål om Oracle E-Business Suite-bruddet
Hva er CVE-2025-61882?
CVE-2025-61882 er en kritisk sårbarhet i Oracle E-Business Suite med CVSS-score 9.8. Den ligger i Concurrent Processing-komponenten og lar en angriper kjøre vilkårlig kode over nettverk uten autentisering. Sårbarheten ble utnyttet som en nulldag av utpressingsgruppen Cl0p før Oracle slapp en oppdatering 4. oktober 2025.
Hvem står bak angrepet mot Oracle E-Business Suite?
Google Threat Intelligence Group og Mandiant har knyttet kampanjen til utpressingsmerket Cl0p, en finansielt motivert gruppe kjent for masseutnyttelse av bedriftsprogramvare. Charles Carmakal, CTO i Mandiant ved Google Cloud, bekreftet at Cl0p sendte utpressings-e-poster til flere ofre fra slutten av september 2025.
Hvor mange ofre er rammet?
Per 17. november 2025 hadde Cl0p navngitt 29 påståtte ofre på lekkasjesiden sin, ifølge offentlig rapportering. Det reelle tallet kan være høyere, fordi Cl0p ofte venter uker med å publisere stjålne data. Blant de navngitte er Harvard University og The Washington Post.
Er norske og nordiske virksomheter berørt?
Ingen av de første navngitte ofrene var nordiske, men Oracle E-Business Suite er utbredt i store nordiske konsern og offentlig sektor. Virksomheter som kjører EBS, særlig hvis systemet er eksponert mot internett, bør anta at de er et mulig mål og oppdatere umiddelbart.
Hva bør virksomheter gjøre nå?
Installer Oracles oktober 2025-oppdateringer for CVE-2025-61882 og CVE-2025-61884 umiddelbart, fjern unødvendig internett-eksponering av EBS, og gjennomfør retrospektiv jakt på tegn til kompromittering. Forbered også varsling etter GDPR og NIS2/digitalsikkerhetsloven dersom personopplysninger kan være berørt.
Hvorfor krypterer ikke Cl0p systemene?
Cl0p har i flere nyere kampanjer droppet kryptering og satset på rent datatyveri med trussel om publisering. Det gjør angrepet vanskeligere å oppdage, fordi systemene fortsetter å virke normalt, og det omgår verdien av gode sikkerhetskopier. Pressmiddelet er trusselen om å lekke sensitive data.
Hvordan henger Oracle EBS-bruddet sammen med tidligere Cl0p-angrep?
Cl0p har tidligere stått bak masseutnyttelse av blant annet Accellion, GoAnywhere, MOVEit og Cleo. Oracle EBS følger samme oppskrift: én kritisk sårbarhet i bredt utbredt programvare utnyttes til å stjele data fra mange organisasjoner samtidig, etterfulgt av utpressing.
