El jueves pasado, Oracle sufrió un ataque de día cero en su E-Business Suite (EBS), cuando el ransomware Cl0p se adueñó de la situación y se atribuyó el hackeo, en un acto que parece un «atrápame si puedes».
La empresa apareció en el blog de filtraciones del grupo de ransomware, mostrando las falencias de ciberseguridad de Oracle, luego de que el grupo explotara su software
E-Business Suite (EBS) en un ataque crítico Zero-Day, afectando a múltiples organizaciones, con el número en aumento.
Sin embargo, la publicación de la víctima ofrecía escasa información; solo mencionaba la sede y dirección de Oracle, su número de teléfono, el sitio web y sus ingresos anuales de 59 mil millones de dólares. Cl0p dejó un mensaje en letras rojas:
«¡A la empresa no le importan sus clientes! ¡Ignoró su seguridad!».
A pesar de esto, el escenario parece temporal. Cuando se dio a conocer el ataque y se buscó revisar el sitio de Cl0p, la entrada sobre Oracle ya no estaba disponible.
Afortunadamente, un analista de inteligencia,
Dominic Alvieri, logró capturar la publicación sobre Oracle y la volvió a compartir en X.
«Oracle ha sido vulnerada por el ransomware Cl0p a través de la vulnerabilidad de día cero
CVE-2025-61882 de Oracle E-Business Suite».
La eliminación de la publicación sugiere que Oracle ha contactado al grupo, o que podrían estar negociando un rescate, aunque solo sea para que el nombre de la compañía sea eliminado del sitio de filtraciones.
Decenas de organizaciones ya han sido impactadas por la
campaña de hackeo de día cero de Cl0p contra EBS, identificada por investigadores de Google desde julio. Este conjunto de aplicaciones de productividad es utilizado por miles de empresas en todo el mundo para gestionar clientes, proveedores, logística, entre otros procesos empresariales.
La explotación por parte de Cl0p, que según Google combina múltiples vulnerabilidades, incluida la
día cero CVE-2025-61882, permite la ejecución remota de código (RCE) sin autenticación en Oracle EBS, lo que facilita al grupo el robo de grandes volúmenes de datos.
Según lo
reportado por Oracle el 2 de octubre, muchas empresas no fueron conscientes de la vulnerabilidad durante meses, lo que las dejó expuestas a ataques. Algunas se dieron cuenta en agosto, después de recibir correos electrónicos de Cl0p exigiendo un rescate.
Si las víctimas ignoran el mensaje o deciden no pagar, Cl0p hace públicos los datos robados en la dark web.
Para agravar la situación de Oracle, el primer parche de emergencia que lanzó resultó ineficaz, lo que llevó a un segundo parche crítico, dejando a los clientes expuestos al día cero durante seis días adicionales, tras varios meses de vulnerabilidad.
Entre las organizaciones de relevancia mencionadas recientemente se encuentran el Sistema Nacional de Salud (NHS) del Reino Unido (datos filtrados), Humana, Mazda, Mazda USA y la Universidad de Phoenix. La serie de ataques de Cl0p también llegó a
The Washington Post este mes, que debió alertar a
miles de clientes sobre la filtración de su información personal.
Otras organizaciones afectadas por Oracle EBS comprenden: la
Universidad de Harvard; la principal aerolínea regional de American Airlines,
Envoy Air; el proveedor multinacional de
servicios críticos de TI DXC Technology; y el cuarto distrito escolar más grande de EE. UU., las
Escuelas Públicas de Chicago.
Mientras tanto, el grupo Cl0p, reconocido por su estrategia a largo plazo, también es conocido por desafiar a sus víctimas con mensajes enigmáticos, llenos de ironía; y Oracle, claramente, no es la excepción.
Activo desde al menos 2020, las campañas previas de Cl0p, que atacaron programas de transferencia de archivos como
MOVEit,
Fortra GoAnywhere, y
Cleo, han afectado a casi 3000 organizaciones prominentes, generando ingresos de cientos de millones de dólares.
El ataque MOVEIT, ocurrido en 2023, fue una de las campañas de hacking más grandes de la historia, impactando a más de 2600 organizaciones y afectando a casi 90 millones de personas.
Fuente:
Cybernews
Con Información de blog.segu-info.com.ar