Los piratas informáticos explotan los sistemas de Oracle, los ejecutivos reciben demandas de rescate

Un ciberataque de gran volumen ha puesto en alerta a las corporaciones globales, ya que los piratas informáticos vinculados a la pandilla de ransomware Cl0p atacan a los ejecutivos a través de campañas de extorsión.

Los atacantes afirman haber robado datos confidenciales de las aplicaciones E-Business Suite de Oracle, que se utilizan ampliamente para administrar transacciones financieras, cadenas de suministro y registros de clientes.

Según los investigadores de seguridad, los piratas informáticos están enviando correos electrónicos de extorsión a los líderes de la empresa exigiendo pagos para evitar la liberación de archivos comprometidos.

Una de esas demandas alcanzó los 50 millones de dólares, aunque hasta ahora no se ha confirmado que ninguna víctima haya pagado.

Correos electrónicos enviados a ejecutivos de la empresa

Google de Alphabet confirmó que los piratas informáticos se están comunicando con ejecutivos de numerosas organizaciones, alegando que han exfiltrado datos confidenciales de los sistemas de Oracle.

En un comunicado, Google describió la campaña como de "gran volumen", pero dijo que actualmente no tiene pruebas suficientes para verificar las afirmaciones.

Los correos electrónicos, que comenzaron a aparecer el 29 de septiembre o antes, se distribuyeron a través de cientos de cuentas de terceros comprometidas y comparten características consistentes con operaciones anteriores de Cl0p.

Los investigadores señalaron que los atacantes parecen haber abusado de la función predeterminada de restablecimiento de contraseña de Oracle para obtener credenciales válidas para los portales de Internet de E-Business Suite.

Las notas de extorsión, escritas en un inglés deficiente y que contenían errores gramaticales, incluían capturas de pantalla y árboles de archivos como supuesta prueba de acceso. Los datos de contacto incrustados en los mensajes también coinciden con los asociados anteriormente con Cl0p.

Demandas de rescate y riesgos de robo de datos

La firma de ciberseguridad Halcyon informó que las demandas de rescate han estado en el rango de siete y ocho cifras, con una demanda de hasta $ 50 millones.

La táctica de los atacantes no se limita a cifrar archivos, sino que implica el robo masivo de datos, lo que puede aumentar la presión sobre las víctimas para que paguen. Si las empresas se niegan, los datos robados podrían filtrarse o venderse, creando más daños regulatorios, financieros y de reputación.

Si bien Google y Halcyon han vinculado la campaña a Cl0p, los investigadores enfatizaron que la escala total de la violación sigue sin estar clara. Ni Oracle ni Cl0p respondieron a las solicitudes de comentarios.

El historial de brechas a gran escala de Cl0p

Cl0p es conocido por explotar vulnerabilidades en software empresarial ampliamente utilizado. En 2023, el grupo llevó a cabo un ataque masivo contra la herramienta de transferencia de archivos MOVEit, reclamando datos de cientos de organizaciones, incluidas Shell, el propietario de British Airways, IAG, y la BBC.

Después de ese incidente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. describió a Cl0p como uno de los mayores distribuidores de phishing y malspam del mundo, estimando que había comprometido a más de 3,000 organizaciones en los EE. UU. y 8,000 en todo el mundo.

La campaña actual destaca cómo los grupos de ciberdelincuentes se centran cada vez más en las plataformas empresariales que forman la columna vertebral de las operaciones corporativas.

Al comprometer aplicaciones como E-Business Suite de Oracle, los atacantes obtienen acceso potencial a los datos financieros y operativos más confidenciales dentro de las grandes empresas.

La escala de las demandas de rescate, y el hecho de que los propios ejecutivos estén siendo atacados directamente, muestra lo mucho que está en juego para las organizaciones que dependen de estos sistemas.