Actores maliciosos vinculados a Cl0p atacan Oracle E-Business Suite con una campaña de extorsión
Investigadores de Halcyon, Google y Mandiant han confirmado que están rastreando la actividad de un actor malicioso, “muy probablemente” afiliado a la banda Cl0p, responsable del envío de correos electrónicos a varios ejecutivos alegando el robo de datos confidenciales de sus sistemas ERP Oracle E-Business Suite.
La actividad comenzó “el 29 de septiembre de 2025 o antes”, según Cynthia Kaiser, vicepresidenta sénior del centro de investigación de ransomware de Halcyon. Según esta especialista, los actores maliciosos han estado exigiendo rescates de siete y ocho cifras, de hasta 50 millones de dólares; y respaldado sus afirmaciones con pruebas de compromiso, incluyendo capturas de pantalla y árboles de archivos.
“Se trata de una situación en desarrollo”, en declaraciones de Kaiser a CSO Online, en las que añade: “Se han observado varios intentos de extorsión en múltiples empresas, incluyendo contactos directos con responsables de TI y ejecutivos de alto nivel, lo que indica que la campaña tiene como objetivo a más de una víctima”.
Aunque Oracle no ha proporcionado más detalles, su director de seguridad, Rob Duhart, publicó el pasado jueves un artículo en el blog de la compañía en el que reconoció que Oracle “es consciente” de los correos electrónicos de extorsión y está llevando a cabo una “investigación en curso»”. Afirmó que los atacantes podrían estar utilizando vulnerabilidades identificadas anteriormente y solucionadas en la actualización crítica de parches de julio de la empresa; y que “reafirma su firme recomendación” de que los clientes apliquen estas actualizaciones.
¿Podría ser Cl0p? Es difícil saberlo
Oracle E-Business Suite (EBS) es un sistema de planificación de recursos empresariales (ERP) utilizado por miles de organizaciones en todo el mundo, según el gigante tecnológico.
Halcyon informa de que los operadores del ransomware están “extorsionando activamente” a las víctimas a través de las páginas de inicio de sesión locales (AppsLocalLogin.jsp) de los portales EBS expuestos a Internet. Tras comprometer el correo electrónico de los usuarios, los atacantes abusan de la función predeterminada de restablecimiento de contraseña para obtener credenciales válidas; las cuentas locales eluden los controles de inicio de sesión único (SSO) de la empresa y, a menudo, carecen de autenticación multifactorial (MFA), lo que deja expuestas a “miles” de organizaciones.
Los afectados han recibido muestras, incluidas capturas de pantalla de portales EBS y listados de árboles de archivos de entornos comprometidos, que parecen validar las reclamaciones de extorsión, según Kaiser. En su opinión, las tácticas y el enfoque de extorsión coinciden con las campañas anteriores de Cl0p, y los agregadores de fugas de datos han “reforzado las afirmaciones”. Destacó que el grupo parece estar abusando de las configuraciones, no explotando vulnerabilidades.
Los correos electrónicos maliciosos enviados por el grupo contienen información de contacto de los hackers, además de que dos direcciones específicas aparecen publicadas a la vista de todos en el sitio de fugas de datos de Cl0p. Al menos una de las cuentas que aparecen en la lista se ha asociado con FIN11, un grupo de amenazas con motivaciones económicas conocido por sus tácticas de ransomware y extorsión.
En principio, los investigadores tenían dudas acerca de la verdadera identidad del grupo. El director técnico de Mandiant, Charles Carmakal, señala que la atribución en los delitos cibernéticos “suele ser compleja”, ya que los actores maliciosos imitan a otros más notorios para aumentar su influencia y presión.
En última instancia, “esta campaña de ataques de spear phishing es peligrosa, no sólo por el potencial y la amenaza de robo de datos, sino porque afecta a los sistemas críticos que gestionan el negocio”, explica Erik Avakian, asesor técnico de Info-Tech Research Group. En su opinión, “los datos de alto valor, como las nóminas, las facturas de los proveedores, los contratos y la información confidencial de RR. HH., son un objetivo prioritario para los actores maliciosos”.
Ejecutivos: no “actúen de manera precipitada”
No existen vulnerabilidades y exposiciones comunes (CVE) para este ataque; el problema “se deriva del abuso de la configuración y la lógica empresarial predeterminada, más que de una vulnerabilidad específica”, según Halcyon.
Esta compañía aconseja a las organizaciones que comprueben si los portales EBS son de acceso público (a través de https:///OA_HTML/AppsLocalLogin.jsp#). En caso afirmativo, recomienda restringir inmediatamente la exposición. También es fundamental aplicar la autenticación multifactorial (MFA) en todas las cuentas; eliminar o “controlar estrictamente” el acceso a Internet a EBS mediante proxies inversos reforzados que rebotan el tráfico; desactivar o proteger las funciones de restablecimiento de contraseñas y exigir una verificación secundaria; supervisar los inicios de sesión anómalos y los intentos de restablecimiento; e implementar herramientas antiransomware.
Como práctica habitual, las organizaciones deben formar a los usuarios, especialmente al personal ejecutivo, sobre las tácticas de los actores maliciosos, para que desconfíen de forma natural de los correos electrónicos, mensajes de texto o llamadas de voz que “aprovechan el miedo, la urgencia o afirman conocer los sistemas por su nombre”, tal y como aconseja Avakian, de Info-Tech. Los ejecutivos, en particular, no deben “actuar de forma precipitada” cuando reciban un mensaje amenazante.
Además, los equipos de seguridad deben investigar, validar y buscar cualquier prueba de exfiltración que haya resultado exitosa. Esto puede incluir examinar los registros y buscar consultas inusuales o grandes cantidades de datos que se exportan.
Según Avakian, “este tipo de ataque ofrece a las organizaciones la oportunidad de reforzar la supervisión y aplicar principios de confianza cero en toda la superficie protegida, como las aplicaciones críticas para la misión, en particular en torno a Oracle EBS”.
Los actores maliciosos cambian de táctica
Tal y como informa Halcyon, Cl0p surgió en febrero de 2019 y se estableció con rapidez como una operación de ransomware con mucha actividad y no menor éxito económico. El grupo ha generado más de 500 millones de dólares en pagos por extorsiones y ha comprometido a más de 11 000 organizaciones en todo el mundo.
Su modus operandi consiste en infiltrarse en redes corporativas, robar datos y desplegar ransomware para cifrarlos. Una de sus acciones más notables fue la explotación de la vulnerabilidad de día cero de MOVEit en 2023.
Este último ataque pone de manifiesto un posible cambio hacia la extorsión sin ransomware, tal y como sostiene Avakian, quien también señala que los hackers ·pueden cambiar de táctica en cualquier momento, y a menudo lo hacen”.
Esta campaña también revela un patrón clave en el que los hackers se dirigen directamente a los líderes, así como a productos o aplicaciones muy específicos, con el propósito de crear la máxima presión. “Incluso si los atacantes no tienen los datos que dicen tener, siguen explotando el miedo y la urgencia para presionar a los líderes”, explica Avakian.
Los errores de Oracle pueden haber llevado a esto
Este caso es “fascinante” desde el punto de vista de las relaciones públicas, reconoce David Shipley, de Beauceron Security. De hecho, a principios de este año surgieron muchas preocupaciones cuando se conoció la noticia de las violaciones de datos en Oracle Health. La empresa fue acusada en una demanda de encubrir el ataque, lo que la llevó a informar a los clientes de un posible comprometimiento de nombres de usuario, claves de acceso y contraseñas cifradas.
Esta mala comunicación ha dado lugar a una “gran cantidad de incertidumbre, miedo y dudas” cuyo resultado ha sido una “resaca tóxica”, afirma Shipley.
En su opinión, “han enturbiado tanto las aguas con sus comunicaciones que la gente no sabe qué creer”, dice. Esto supone una “gran oportunidad” para los autores de las amenazas, ya que tanta desconfianza puede llevar a las organizaciones a asumir que la filtración es real y ceder a las demandas de extorsión.
En última instancia, esto debería servir como un caso de estudio que ejemplifique lo importante que es para las empresas disponer de un plan de comunicación claro, pero también compartir la información de la forma más rápida y precisa posible cuando se produce una violación, señala Shipley, quien concluye con estas palabras: “Se trata más bien una mezcla de relaciones públicas y comunicación de crisis con un poco de marca criminal y reputación”.
(computerworld.es)
Les estaremos informando con mucho más detalle, en el marco del informe especial: “Soluciones de infraestructura de Data centers y edge computing, componentes activos (UPS, AAC, generadores, tableros eléctricos, PDU) y pasivos (cables, gabinetes, pisos, accesorios, conectores). Climatización y Refrigeración. Ciberseguridad, seguridad (perimétrica y de data) y controles (cámaras, extinguidores
de gas, tableros de acceso). Energía limpia: generadores solares de energía para Data centers. Equipamiento integral para y hacia la nube. Cableado y gestión de cableado estructurado.. Buenas prácticas ambientales», que estamos preparando para nuestra edición 223 y publicaremos en el mes de marzo.
Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.
