Cl0p hat die Verantwortung für die Angriffskampagne gegen Kunden der Oracle E-Business Suite übernommen. Nach den vorliegenden Angaben verschafften sich die Angreifer über Zero-Day-Schwachstellen Zugang zu Daten, die in Oracles Software für die Unternehmenssteuerung abgelegt sind, und nutzten das Material anschließend zur Erpressung. Als öffentliche Erpressermarke tritt zwar Cl0p auf, doch nach Einschätzung der Sicherheits-Community könnte hinter der Operation ein Cluster mehrerer Bedrohungsakteure stehen — am ehesten FIN11.
Auf der Leak-Seite von Cl0p stehen mehr als 100 mutmaßliche Opfer aus einem breiten Branchenspektrum. Bei den meisten von ihnen veröffentlichten die Täter Torrent-Dateien, die auf angeblich entwendete Informationen verweisen. Das deutet darauf hin, dass diese Opfer eine Lösegeldzahlung verweigert haben.
Ein Großteil der betroffenen Konzerne hat einen Datenabfluss öffentlich bestätigt. Viele bezeichneten die Folgen als begrenzt, informierten aber dennoch die betroffenen Personen über mögliche Risiken. Eine kleine Gruppe sehr großer Unternehmen hat sich dagegen überhaupt nicht geäußert — weder bestätigend noch dementierend, und auch nicht mit dem Hinweis auf eine laufende Untersuchung.
Dazu zählen der Halbleiter- und Infrastruktursoftware-Konzern Broadcom, das Ingenieur- und Bauunternehmen Bechtel, der Kosmetikkonzern Estée Lauder Companies sowie der Hersteller von Medizintechnik und Gesundheitslösungen Abbott Laboratories. Alle vier wurden um den 20. November 2025 auf der Cl0p-Seite gelistet. Auf wiederholte Anfragen reagierten sie nicht.
Untersuchungen von Datenschutzvorfällen können sich über Monate bis hin zu einem Jahr ziehen, doch große Unternehmen räumen üblicherweise zumindest ein, dass eine Prüfung läuft.
SecurityWeek hat nach eigenen Angaben keine der geleakten Daten heruntergeladen, jedoch eine kurze Analyse von Metadaten und Dateistruktur des Materials einiger größerer genannter Firmen vorgenommen und festgestellt, dass die Dateien tatsächlich aus einer Oracle-EBS-Umgebung stammen. Im Fall Broadcom veröffentlichten die Täter mehr als 2 TB an Archiven, die angeblich gestohlene Firmendateien enthalten; die Estée-Lauder-Torrent-Datei verweist auf 870 GB an Archiven. Die Torrents zu Bechtel und Abbott waren zum Redaktionszeitpunkt zwar noch verfügbar, ließen sich aber nicht für eine Analyse abrufen — was nicht heißt, dass die Dateien für Kriminelle unerreichbar sind, da sie auch privat in einschlägigen Foren kursieren können.
Für das Schweigen gibt es mehrere mögliche Erklärungen. Gruppen wie Cl0p übertreiben das Ausmaß ihrer Angriffe häufig, weshalb viele Firmen rasch dementieren oder relativieren, um Kunden und Anteilseigner zu beruhigen. Wurden keine regulierten Daten wie Gesundheitsinformationen, Sozialversicherungsnummern oder Zahlungsdaten kompromittiert, besteht zudem keine gesetzliche Pflicht zur öffentlichen Offenlegung; ist der Vorfall nicht wesentlich, entfällt auch eine Meldepflicht gegenüber Investoren nach den SEC-Regeln.
Auf der anderen Seite kann Schweigen aus strategischen, PR- und rechtlichen Gründen gewählt sein. Schon das Eingeständnis einer laufenden Untersuchung könnte Klagen, Druck von Leerverkäufern oder zusätzliche regulatorische Aufmerksamkeit nach sich ziehen.
