Michelin reiht sich in die Liste der Organisationen ein, die im Rahmen der Cl0p-Kampagne gegen Oracles E-Business Suite ins Visier gerieten. Das Unternehmen bestätigte gegenüber SecurityWeek, betroffen gewesen zu sein. Ein Sprecher erklärte, Michelin sei “wie zahllose Organisationen täglich” zuweilen Ziel von Cyberangriffen und habe “trotz höchster Schutzvorkehrungen” zeitgleich mit vielen anderen Unternehmen einen solchen Vorfall erlebt.
Nach einer eigenen, gründlichen Untersuchung stellte das Unternehmen fest, dass bei dem Angriff eine Zero-Day-Schwachstelle in Oracle EBS ausgenutzt worden war. Dank der eigenen Expertise und Prozesse seien alle Gegenmaßnahmen rechtzeitig ergriffen worden und vollständig wirksam gewesen; die Situation sei inzwischen behoben, so der Sprecher.
Michelin bestätigte, dass die Angreifer auf einige Dateien zugegriffen haben, betonte aber, betroffen sei nur “ein kleines, lokal begrenztes Datenvolumen ohne sensible oder technische IT-Informationen” gewesen. Ransomware sei bei dem Angriff nicht im Spiel gewesen, und es habe keine Auswirkungen auf die globalen Systeme des Unternehmens gegeben. Die Sicherheit der Daten und Dienste von Kunden und Partnern habe für das Unternehmen höchste Priorität.
Zur Kampagne selbst bekannte sich die Ransomware- und Erpressergruppe Cl0p, die für den Zugriff auf die in Oracle EBS gespeicherten Daten Zero-Day-Lücken ausnutzte. Sicherheitsforscher gehen jedoch davon aus, dass Cl0p lediglich als öffentlich auftretende Erpressermarke dient und die Operation von einem versierten Verbund von Bedrohungsakteuren getragen wird, insbesondere von der Gruppe FIN11.
Die Täter veröffentlichten mehr als 315 GB an Archiven, die angeblich von Michelin entwendete Dateien enthalten. SecurityWeek hat die geleakten Daten nach eigenen Angaben nicht heruntergeladen, eine kurze Analyse von Metadaten und Dateistruktur deute jedoch darauf hin, dass zumindest ein Teil der Dateien tatsächlich aus einer Oracle-EBS-Umgebung stammt.
Michelin ist nicht das einzige bestätigte Opfer: Auch Madison Square Garden räumte kürzlich ein, im Zuge der Oracle-EBS-Kampagne angegriffen worden zu sein — Monate nachdem die Angreifer mehr als 210 GB an angeblich erbeuteten Archiven veröffentlicht hatten.
