Oracle PeopleSoft im Visier: ShinyHunters stiehlt Daten in großangelegtem Angriff

Die Gruppe ShinyHunters hat erneut zugeschlagen und richtet sich gezielt gegen Oracle PeopleSoft-Systeme. Nach eigenen Angaben hat sie Daten aus über 100 Organisationen abgegriffen und nutzt dabei eine Mischung aus bekannten Schwachstellen und möglicherweise noch unbekannten Lücken. Die Angriffe zeigen, wie verwundbar kritische Unternehmenssoftware bleibt – selbst Jahre nach der Veröffentlichung von Patches.

Warum PeopleSoft zum Ziel wird

Oracle PeopleSoft ist eine zentrale Unternehmenssoftware, die in großen Organisationen für Aufgaben wie Personalwesen, Gehaltsabrechnung, Finanzen und Lieferkettenmanagement eingesetzt wird. Viele dieser Systeme laufen noch auf veralteten Versionen oder sind nicht korrekt konfiguriert, was sie zu attraktiven Zielen für Cyberkriminelle macht. Die Angriffe von ShinyHunters zeigen, dass selbst gut etablierte Software nicht automatisch sicher ist, wenn Wartung und Updates vernachlässigt werden.

Die Bedrohungsakteure behaupten, sie hätten eine „Gadget-Chain“ aus alten und möglicherweise neuen Schwachstellen genutzt, um in die Systeme einzudringen. Obwohl sie betonen, dass ihr Angriff nicht bei allen Konfigurationen erfolgreich war, unterstreicht der Vorfall die Notwendigkeit, PeopleSoft-Instanzen regelmäßig zu überprüfen und nach aktuellen Sicherheitsstandards auszurichten. Besonders kritisch ist die Situation im Bildungssektor, wo viele Einrichtungen bereits in der Vergangenheit Opfer von ShinyHunters wurden.

Die Rolle von ShinyHunters und ihre Vorgehensweise

ShinyHunters ist eine bekannte Erpressergruppe, die bereits in der Vergangenheit durch großangelegte Datenleaks von sich reden machte. Die Angriffe auf PeopleSoft-Systeme folgen einem Muster: Nach dem Eindringen fordern die Täter Lösegeld oder drohen damit, gestohlene Daten zu veröffentlichen. Im aktuellen Fall behauptet die Gruppe, sie habe Daten von 300 Instanzen in über 100 Organisationen gestohlen.

Interessanterweise gab ShinyHunters an, ursprünglich versucht zu haben, einen FBI-Portal mit PeopleSoft zu kompromittieren, um eine „Stellungnahme zu verbreiteten Falschinformationen“ zu veröffentlichen. Dieser Versuch scheiterte jedoch. Stattdessen konzentrierten sie sich auf andere Ziele, darunter die University of Nottingham, deren Daten bereits auf der Leak-Site der Gruppe aufgetaucht sein sollen. Die Universität bestätigte einen Cybersecurity-Vorfall und arbeitet offenbar mit Behörden zusammen.

Technische Details: Wie die Angriffe ablaufen

Laut eigenen Angaben nutzt ShinyHunters eine Kombination aus bekannten und unbekannten Schwachstellen, um in PeopleSoft-Systeme einzudringen. Die genaue Art der „Gadget-Chain“ wurde nicht detailliert beschrieben, aber Experten vermuten, dass es sich um eine Abfolge von Exploits handelt, die auf veralteten Komponenten oder falschen Konfigurationen basieren.

Ein Sicherheitsforscher namens „Michael R“ entdeckte öffentlich zugängliche Verzeichnisse, die mit den Angriffen in Verbindung stehen könnten. Darin fanden sich Tools und Skripte, die auf die Kompromittierung von PeopleSoft-Umgebungen hindeuten. Diese Funde deuten darauf hin, dass die Angriffe möglicherweise automatisiert ablaufen und gezielt nach verwundbaren Instanzen suchen.

Für Unternehmen bedeutet das: Selbst wenn eine Software wie PeopleSoft regelmäßig gepatcht wird, können falsche Einstellungen oder veraltete Plugins weiterhin Sicherheitslücken öffnen. Eine gründliche Überprüfung der Systemkonfiguration und die Deaktivierung unnötiger Funktionen sind daher essenziell.

Die Reaktion von Oracle und betroffene Organisationen

Oracle hat bisher keine offiziellen Stellungnahmen zu den Angriffen veröffentlicht. Das Unternehmen wurde zwar kontaktiert, hat aber noch nicht öffentlich Stellung genommen. Dies wirft Fragen auf, wie schnell Oracle auf solche Vorfälle reagiert und ob die Kunden ausreichend unterstützt werden.

Betroffene Organisationen stehen nun vor der Herausforderung, die gestohlenen Daten zu bewerten und mögliche rechtliche sowie reputative Folgen zu minimieren. Besonders im Bildungssektor, wo viele Einrichtungen bereits in der Vergangenheit Opfer von ShinyHunters wurden, könnte der Druck steigen, die Sicherheitssysteme zu modernisieren. Die University of Nottingham hat bereits einen Vorfall bestätigt, während andere Opfer noch nicht öffentlich bekannt sind.

Konkrete Maßnahmen für Unternehmen

Unternehmen, die PeopleSoft einsetzen, sollten umgehend prüfen, ob ihre Systeme aktuell sind und keine unnötigen Dienste offenstehen. Folgende Schritte sind ratsam:

1. Patch-Management: Stellen Sie sicher, dass alle Oracle PeopleSoft-Komponenten auf dem neuesten Stand sind. Dies umfasst nicht nur die Hauptsoftware, sondern auch Plugins, Middleware und Datenbanken.
2. Konfigurationsprüfung: Überprüfen Sie die Einstellungen Ihrer PeopleSoft-Instanzen. Deaktivieren Sie ungenutzte Funktionen und stellen Sie sicher, dass Zugriffsrechte nach dem Prinzip der geringsten Rechte vergeben werden.
3. Monitoring und Protokollierung: Implementieren Sie ein robustes Logging, um ungewöhnliche Aktivitäten frühzeitig zu erkennen. Tools zur Erkennung von Anomalien können helfen, Angriffe schneller zu identifizieren.
4. Notfallplanung: Entwickeln Sie einen Incident-Response-Plan, der im Falle eines Angriffs klare Schritte vorgibt. Dazu gehört auch die Zusammenarbeit mit externen Experten, falls interne Ressourcen nicht ausreichen.
5. Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für Phishing und Social Engineering, da diese oft als Einfallstor für Angriffe dienen.

Rechtliche und reputative Folgen

Die Veröffentlichung gestohlener Daten kann für betroffene Organisationen schwerwiegende Konsequenzen haben. Neben möglichen Bußgeldern aufgrund von Datenschutzverletzungen drohen Imageschäden und Vertrauensverlust bei Kunden und Partnern. Besonders im Bildungssektor, wo sensible Daten von Studierenden und Mitarbeitern gespeichert werden, kann ein solcher Vorfall langfristige Auswirkungen haben.

ShinyHunters hat bereits Daten von über 100 Organisationen gestohlen und veröffentlicht diese teilweise auf ihrer Leak-Site. Unternehmen sollten daher davon ausgehen, dass ihre Daten kompromittiert sein könnten, und entsprechend handeln. Eine transparente Kommunikation mit Betroffenen und Behörden ist dabei unerlässlich.

Was kommt als Nächstes?

Die Angriffe von ShinyHunters auf PeopleSoft-Systeme zeigen, dass Erpressergruppen weiterhin gezielt nach Schwachstellen in Unternehmenssoftware suchen. Oracle steht nun unter Druck, schnell und transparent auf die Vorfälle zu reagieren. Gleichzeitig müssen Unternehmen ihre Sicherheitsmaßnahmen überdenken und sicherstellen, dass sie nicht nur auf Patches setzen, sondern auch auf eine robuste Konfiguration und Überwachung.

Experten gehen davon aus, dass ähnliche Angriffe in Zukunft zunehmen werden, da immer mehr Organisationen auf veraltete oder falsch konfigurierte Systeme setzen. Die Kombination aus bekannten Schwachstellen und neuen Angriffsmethoden macht es für Cyberkriminelle leicht, lohnende Ziele zu finden.

Fazit: Handlungsdruck für Unternehmen

Die aktuellen Angriffe auf Oracle PeopleSoft durch ShinyHunters unterstreichen die dringende Notwendigkeit, Unternehmenssoftware nicht nur zu patchen, sondern auch sicher zu konfigurieren und kontinuierlich zu überwachen. Besonders im Bildungssektor, der wiederholt zum Ziel wird, müssen Verantwortliche handeln, bevor weitere Daten in die falschen Hände geraten.

Unternehmen sollten die Vorfälle zum Anlass nehmen, ihre Sicherheitsstrategien zu überprüfen und sicherzustellen, dass alle Systeme auf dem neuesten Stand sind. Nur so lässt sich das Risiko minimieren, Opfer ähnlicher Angriffe zu werden. Die Zeit zum Handeln ist jetzt – bevor es zu spät ist.