AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Google Mandiant alerta sobre nueva campaña de extorsión dirigida a Oracle E-Business Suite

admin

Introducción

En las últimas semanas, los equipos de Google Mandiant y Google Threat Intelligence Group (GTIG) han revelado el seguimiento de un nuevo clúster de actividad maliciosa, probablemente vinculado al conocido grupo de cibercriminales Cl0p. La campaña se caracteriza por el envío de correos electrónicos de extorsión dirigidos a ejecutivos de diferentes organizaciones. Los atacantes afirman haber exfiltrado información sensible de implementaciones de Oracle E-Business Suite (EBS), lo que supone una amenaza significativa para la integridad y confidencialidad de los datos corporativos.

Contexto del Incidente

Cl0p ha figurado en los últimos años como uno de los grupos de ransomware y extorsión más activos, especialmente tras sus ataques masivos aprovechando vulnerabilidades zero-day en software ampliamente desplegado. En esta ocasión, Mandiant y GTIG han observado una campaña sistemática iniciada a principios de mayo de 2024, en la que los actores envían mensajes personalizados a directivos y responsables de seguridad, alegando haber robado bases de datos, documentos financieros y credenciales almacenadas en entornos Oracle EBS.

Oracle E-Business Suite es una plataforma de gestión empresarial crítica, cuyo uso está extendido en sectores regulados como la banca, sanidad y manufactura. La naturaleza confidencial de los datos almacenados en estas soluciones incrementa el atractivo para grupos de extorsión como Cl0p, que buscan maximizar el impacto y la probabilidad de pago.

Detalles Técnicos

Aunque por el momento no se ha confirmado la explotación de una vulnerabilidad específica (CVE) en Oracle EBS, la telemetría de Mandiant indica que los atacantes están aprovechando vectores de ataque comunes como accesos RDP expuestos, credenciales comprometidas y configuraciones inseguras. Se sospecha del uso de técnicas de reconocimiento y movimiento lateral descritas en el framework MITRE ATT&CK, especialmente T1078 (Valid Accounts), T1046 (Network Service Scanning) y T1003 (OS Credential Dumping).

Los correos de extorsión enviados incluyen fragmentos de datos extraídos, hashes de contraseñas y referencias a archivos sensibles, actuando como IoC (Indicadores de Compromiso) clave para la detección temprana. La infraestructura de los atacantes muestra elementos típicos de operaciones de ransomware-as-a-service, con uso de herramientas como Cobalt Strike, Metasploit y utilidades personalizadas para exfiltración (por ejemplo, Rclone).

No se ha detectado aún un exploit público o PoC para vulnerabilidades específicas de EBS en esta campaña, aunque la comunidad de threat intelligence recomienda monitorizar CVEs históricas como CVE-2022-21587 y CVE-2021-2351, conocidas por permitir ejecución remota de código en instalaciones Oracle EBS no parcheadas.

Impacto y Riesgos

El impacto potencial de esta campaña es considerable. Oracle E-Business Suite gestiona información crítica como datos financieros, nóminas, propiedad intelectual y registros de clientes. La exfiltración o cifrado de estos datos no solo puede paralizar la operativa de una organización, sino también desencadenar consecuencias legales bajo normativas como GDPR y la inminente NIS2.

Hasta la fecha, Mandiant estima que al menos un 4% de las organizaciones con Oracle EBS expuesto a internet han recibido intentos de extorsión, con demandas económicas que oscilan entre 50.000 y 5 millones de euros, dependiendo del volumen de datos presuntamente robados. Sectores más afectados incluyen industria, salud y servicios financieros.

Medidas de Mitigación y Recomendaciones

Las recomendaciones inmediatas para los equipos de ciberseguridad incluyen:

– Auditar el acceso externo a Oracle EBS, restringiendo interfaces administrativas y servicios innecesarios.
– Aplicar los últimos parches de seguridad publicados por Oracle, especialmente los incluidos en el Critical Patch Update de abril de 2024.
– Monitorizar logs y alertas de actividad inusual, como autenticaciones fuera de horario y transferencias de datos atípicas.
– Implementar MFA (autenticación multifactor) y políticas de rotación de credenciales en todos los sistemas críticos.
– Utilizar EDR y soluciones SIEM para correlacionar IoC publicados por Mandiant y GTIG relacionados con esta campaña.
– Realizar simulacros de respuesta ante incidentes de extorsión y exfiltración, incluyendo la notificación a las autoridades competentes.

Opinión de Expertos

Especialistas de Mandiant advierten que la sofisticación de las campañas de extorsión sigue en aumento, con tácticas híbridas que combinan ingeniería social, amenazas de publicación y, en algunos casos, cifrado parcial de sistemas. «El targeting directo a ejecutivos incrementa la presión psicológica y la probabilidad de pago», afirma John Hultquist, jefe de threat intelligence en Mandiant.

Desde el sector público, la Agencia Española de Protección de Datos (AEPD) recuerda la obligatoriedad de notificar brechas de datos personales en menos de 72 horas conforme al RGPD, lo que añade una capa adicional de urgencia ante este tipo de incidentes.

Implicaciones para Empresas y Usuarios

Para las empresas, la exposición de datos en Oracle EBS puede derivar en pérdidas económicas, sanciones regulatorias y daños reputacionales de difícil recuperación. La campaña también evidencia la necesidad de madurez en la gestión de activos críticos y la formación continua de personal frente a amenazas de extorsión.

Para los usuarios finales, la fuga de datos puede suponer un riesgo directo de robo de identidad, fraude y afectación a la privacidad. Se recomienda mantener la vigilancia sobre actividad inusual en cuentas asociadas y seguir buenas prácticas de seguridad personal.

Conclusiones

La campaña atribuida a Cl0p contra Oracle E-Business Suite marca una evolución en las tácticas de extorsión corporativa, enfocándose en sistemas ERP críticos para maximizar el impacto. La colaboración entre inteligencia privada y equipos de respuesta será clave para frenar la proliferación de estos ataques y reducir la superficie de exposición en infraestructuras esenciales.

(Fuente: feeds.feedburner.com)