El jueves pasado, Oracle fue víctima de un ataque de día cero contra su
propia E-Business Suite (EBS), después de que, en un momento de «atrápame si puedes», el ransomware Cl0p
se atribuyera a la empresa de software y computación en la nube como parte de
su última oleada de hackeos impulsada por Oracle.
La compañía apareció en el blog de filtraciones del grupo de ransomware, como
si quisiera restregarle a Oracle sus propias fallas de ciberseguridad, después
de que el grupo explotara su software
E-Business Suite (EBS) en un ataque crítico Zero-Day, afectando a docenas de empresas hasta la fecha, y la cifra sigue
aumentando.
Aun así, la publicación de la víctima proporcionaba muy poca información;
simplemente enumeraba la sede y la dirección de Oracle, el número de teléfono,
el sitio web, los ingresos anuales de 59 mil millones de dólares y el sector
industrial. En letras rojas, Cl0p también dejó su firma, que suele encontrarse
al final de cada publicación:
«¡A la empresa no le importan sus clientes! ¡Ignoró su seguridad!».
Pero todo el escenario parece ser efímero. Una vez que se difundió la noticia
del ataque, y para cuando se revisó el sitio web de Cl0p para verificar la
publicación, la entrada de Oracle sobre la víctima no aparecía por ningún
lado.
Por suerte, un analista de inteligencia
Dominic Alvieri capturó
la publicación de Cl0p sobre Oracle y la republicó en X.
«Oracle ha sido vulnerada por el ransomware Cl0p a través de la
vulnerabilidad de día cero
CVE-2025-61882
de Oracle E-Business Suite».
Esta publicación faltante lleva a suponer que representantes de Oracle al
menos se han puesto en contacto con el grupo, o podrían haber empezado a
negociar una exigencia de rescate, aunque solo sea para que el nombre de su
empresa desaparezca del sitio de la filtración y sea de conocimiento público.
Decenas de organizaciones ya han sido víctimas de la
campaña de hackeo de día cero de Cl0p
contra EBS, que, según los investigadores de Google, se remonta a julio. El
conjunto de aplicaciones de productividad, utilizado por miles de empresas y
organizaciones en todo el mundo, permite a los clientes gestionar clientes,
proveedores, fabricación, logística y otros procesos empresariales.
El exploit Cl0p, que según Google encadena con éxito múltiples
vulnerabilidades, incluida la de
día cero CVE-2025-61882, permite la ejecución remota de código (RCE) sin autenticación en Oracle
EBS, lo que permite al grupo robar grandes cantidades de datos de clientes.
Según lo
informado por primera vez por Oracle el 2 de octubre, la mayoría de las empresas desconocían el día cero durante meses, lo que
las dejaba vulnerables a ataques. Muchas descubrieron su vulnerabilidad en
agosto, tras recibir un correo electrónico sorpresa de la banda exigiendo un
rescate.
Si las víctimas ignoran el correo electrónico o deciden no pagar, Cl0p publica
los datos robados para su descarga en la dark web.
Para agravar la situación de Oracle, el primer parche de emergencia lanzado
por la compañía falló, lo que provocó un segundo parche crítico, dejando a los
clientes expuestos al día cero durante seis días más, después de meses de
exposición.
Entre las empresas de alto perfil mencionadas esta semana se encuentran el
Sistema Nacional de Salud (NHS) del Reino Unido (datos publicados), Humana,
Mazda, Mazda USA y la Universidad Phoenix. La ola de ataques Cl0p también
afectó a
The Washington Post
este mes, y el diario de Washington D. C. tuvo que alertar a
miles de clientes de WoPo
sobre la filtración de sus datos personales.
Otras víctimas de Oracle EBS incluyen: la
Universidad de Harvard; la mayor aerolínea regional de American Airlines,
Envoy Air; el proveedor multinacional de
servicios críticos de TI DXC Technology; y el cuarto distrito escolar más grande de EE.UU., las
Escuelas Públicas de Chicago.
Mientras tanto, el cártel Cl0p, conocido por su estrategia a largo plazo,
también es conocido por provocar a sus víctimas con mensajes crípticos, muchos
de ellos cargados de ironía; y Oracle, obviamente, no es la excepción.
En funcionamiento desde al menos 2020, las campañas anteriores de Cl0p
—explotando los programas de transferencia de archivos
MOVEit,
Fortra GoAnywhere, y
Cleo, siendo la más reciente— han comprometido a casi 3000 importantes
organizaciones, recaudando cientos de millones de dólares.
El exploit MOVEIT, ocurrido en 2023, fue una de las campañas de hacking más
extensas de la historia, afectando a más de 2600 organizaciones y casi 90
millones de personas.
Fuente:
Cybernews