AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Ataques

**Hackers lanzan una campaña de extorsión dirigida a clientes de Oracle E-Business Suite**

admin

### 1. Introducción

En las últimas semanas, varias grandes corporaciones han sido víctimas de una campaña de extorsión altamente dirigida, centrada en la supuesta exfiltración de datos confidenciales alojados en sistemas Oracle E-Business Suite (EBS). Diversos ejecutivos de empresas multinacionales han recibido amenazas directas en las que se les exige un pago para evitar la divulgación pública de información sensible, lo que podría tener graves consecuencias legales y reputacionales. Los primeros indicios vinculan esta campaña con grupos de ciberdelincuentes conocidos como Cl0p y FIN11, ambos célebres por sus ataques sofisticados y su historial de explotación de vulnerabilidades en aplicaciones empresariales críticas.

### 2. Contexto del Incidente

Oracle E-Business Suite es una de las plataformas ERP más utilizadas en el mundo corporativo para la gestión de recursos empresariales, finanzas, cadena de suministro y recursos humanos. Su uso está ampliamente extendido entre empresas del IBEX 35, Fortune 500 y entidades públicas, lo que la convierte en un objetivo atractivo para actores maliciosos.

La campaña de extorsión fue detectada tras la recepción de correos electrónicos personalizados enviados a directivos de alto nivel (CISO, CEO, CFO, CIO) en los que los atacantes afirmaban haber robado información confidencial almacenada en los sistemas EBS. Además de la amenaza de filtrado público, los atacantes proporcionaban muestras parciales de los datos exfiltrados como prueba de acceso, aumentando la presión sobre las víctimas.

### 3. Detalles Técnicos

Las investigaciones iniciales sugieren que los atacantes explotaron vulnerabilidades conocidas en Oracle EBS, en particular el CVE-2022-21587 (CVSS 9.8), que permite la ejecución remota de código sin autenticación previa. Este fallo, parcheado en la actualización crítica de octubre de 2022, sigue afectando a numerosos sistemas que no han aplicado los parches de seguridad. Las técnicas, tácticas y procedimientos (TTP) observados se alinean con los frameworks MITRE ATT&CK:

– **Initial Access (T1190):** Explotación de vulnerabilidades en aplicaciones públicas.
– **Execution (T1059):** Ejecución de comandos a través de scripts remotos.
– **Exfiltration (T1041):** Transferencia de datos a servidores controlados por los atacantes mediante canales cifrados.

Los investigadores han identificado indicadores de compromiso (IoC) como conexiones inusuales a endpoints externos, archivos .zip y .7z cifrados en directorios temporales, y modificaciones en registros de acceso de EBS. Además, se han detectado artefactos relacionados con herramientas de post-explotación como Metasploit y Cobalt Strike, que han sido empleadas para el movimiento lateral y la escalada de privilegios dentro de los entornos comprometidos.

### 4. Impacto y Riesgos

El impacto potencial de esta campaña es significativo. Oracle EBS gestiona información crítica, incluyendo datos financieros, nóminas, contratos y registros de clientes. La exposición o manipulación de estos datos puede derivar en:

– Incumplimientos graves de la GDPR y la Directiva NIS2, con sanciones de hasta el 4% del volumen de negocio global.
– Interrupciones operativas debido a la desconfianza en los sistemas ERP.
– Pérdida de propiedad intelectual y ventaja competitiva.
– Daños reputacionales irreversibles.

Datos preliminares estiman que al menos un 18% de las organizaciones que operan Oracle EBS a nivel global podrían estar usando versiones vulnerables, lo que eleva el riesgo de afectación a cientos de empresas.

### 5. Medidas de Mitigación y Recomendaciones

Los expertos recomiendan la adopción inmediata de las siguientes acciones:

– **Aplicar sin demora los parches de seguridad críticos publicados en las últimas actualizaciones de Oracle, especialmente los relativos a CVE-2022-21587 y CVE-2023-21587.**
– **Auditar los registros de acceso y eventos del sistema EBS en busca de signos de actividad anómala o accesos no autorizados.**
– **Implementar segmentación de red y controles de acceso estrictos, limitando el acceso a los sistemas EBS desde ubicaciones y usuarios verificados.**
– **Configurar alertas en el SIEM para detectar patrones de exfiltración de datos y movimientos laterales.**
– **Actualizar y probar planes de respuesta ante incidentes, incluyendo el protocolo frente a extorsión y filtración de datos.**

### 6. Opinión de Expertos

Según Javier Salas, director de ciberseguridad en una multinacional española del sector financiero, “el uso de herramientas avanzadas como Cobalt Strike en entornos corporativos demuestra una profesionalización de los ataques: ya no hablamos de ransomware masivo, sino de campañas de extorsión quirúrgicas dirigidas a targets de alto valor”. Por su parte, el analista de amenazas de S21sec, Marta García, destaca que “la falta de aplicación de parches en sistemas ERP críticos sigue siendo una asignatura pendiente para muchas empresas; el riesgo de sanciones regulatorias y daños operativos es cada vez más alto”.

### 7. Implicaciones para Empresas y Usuarios

Las empresas que utilicen Oracle E-Business Suite deben considerar esta campaña como una llamada de atención urgente. Más allá de la actualización tecnológica, es imprescindible reforzar los protocolos de seguridad, la formación interna sobre riesgos y la colaboración con entidades regulatorias para asegurar la resiliencia frente a amenazas de extorsión y filtración de datos. Los usuarios finales, aunque menos expuestos directamente, pueden verse afectados por la interrupción de servicios, la filtración de información personal y el impacto reputacional sobre las organizaciones.

### 8. Conclusiones

La campaña de extorsión dirigida a clientes de Oracle E-Business Suite marca una nueva escalada en la sofisticación de los ataques a infraestructuras empresariales críticas. La explotación de vulnerabilidades no parcheadas y el uso de TTP avanzadas subrayan la importancia de una gestión proactiva de la ciberseguridad, el cumplimiento normativo y la respuesta ágil ante incidentes. Solo mediante la colaboración entre departamentos IT, equipos de respuesta y dirección ejecutiva podrán las organizaciones minimizar el impacto de estas amenazas emergentes.

(Fuente: www.securityweek.com)