El jueves pasado, Oracle fue víctima de un ataque de día cero contra su propia E-Business Suite (EBS), después de que, en un momento de "atrápame si puedes", el ransomware Cl0p se atribuyera a la empresa de software y computación en la nube como parte de su última oleada de hackeos impulsada por Oracle.
La compañía apareció en el blog de filtraciones del grupo de ransomware, como si quisiera restregarle a Oracle sus propias fallas de ciberseguridad, después de que el grupo explotara su software E-Business Suite (EBS) en un ataque crítico Zero-Day, afectando a docenas de empresas hasta la fecha, y la cifra sigue aumentando.
Aun así, la publicación de la víctima proporcionaba muy poca información; simplemente enumeraba la sede y la dirección de Oracle, el número de teléfono, el sitio web, los ingresos anuales de 59 mil millones de dólares y el sector industrial. En letras rojas, Cl0p también dejó su firma, que suele encontrarse al final de cada publicación: "¡A la empresa no le importan sus clientes! ¡Ignoró su seguridad!".
Pero todo el escenario parece ser efímero. Una vez que se difundió la noticia del ataque, y para cuando se revisó el sitio web de Cl0p para verificar la publicación, la entrada de Oracle sobre la víctima no aparecía por ningún lado.
Por suerte, un analista de inteligencia Dominic Alvieri capturó la publicación de Cl0p sobre Oracle y la republicó en X. "Oracle ha sido vulnerada por el ransomware Cl0p a través de la vulnerabilidad de día cero CVE-2025-61882 de Oracle E-Business Suite".
Esta publicación faltante lleva a suponer que representantes de Oracle al menos se han puesto en contacto con el grupo, o podrían haber empezado a negociar una exigencia de rescate, aunque solo sea para que el nombre de su empresa desaparezca del sitio de la filtración y sea de conocimiento público.
Decenas de organizaciones ya han sido víctimas de la campaña de hackeo de día cero de Cl0p contra EBS, que, según los investigadores de Google, se remonta a julio. El conjunto de aplicaciones de productividad, utilizado por miles de empresas y organizaciones en todo el mundo, permite a los clientes gestionar clientes, proveedores, fabricación, logística y otros procesos empresariales.
El exploit Cl0p, que según Google encadena con éxito múltiples vulnerabilidades, incluida la de día cero CVE-2025-61882, permite la ejecución remota de código (RCE) sin autenticación en Oracle EBS, lo que permite al grupo robar grandes cantidades de datos de clientes.
Según lo informado por primera vez por Oracle el 2 de octubre, la mayoría de las empresas desconocían el día cero durante meses, lo que las dejaba vulnerables a ataques. Muchas descubrieron su vulnerabilidad en agosto, tras recibir un correo electrónico sorpresa de la banda exigiendo un rescate.
Si las víctimas ignoran el correo electrónico o deciden no pagar, Cl0p publica los datos robados para su descarga en la dark web.
Para agravar la situación de Oracle, el primer parche de emergencia lanzado por la compañía falló, lo que provocó un segundo parche crítico, dejando a los clientes expuestos al día cero durante seis días más, después de meses de exposición.
Entre las empresas de alto perfil mencionadas esta semana se encuentran el Sistema Nacional de Salud (NHS) del Reino Unido (datos publicados), Humana, Mazda, Mazda USA y la Universidad Phoenix. La ola de ataques Cl0p también afectó a The Washington Post este mes, y el diario de Washington D. C. tuvo que alertar a miles de clientes de WoPo sobre la filtración de sus datos personales.
Otras víctimas de Oracle EBS incluyen: la Universidad de Harvard; la mayor aerolínea regional de American Airlines, Envoy Air; el proveedor multinacional de servicios críticos de TI DXC Technology; y el cuarto distrito escolar más grande de EE.UU., las Escuelas Públicas de Chicago.
Mientras tanto, el cártel Cl0p, conocido por su estrategia a largo plazo, también es conocido por provocar a sus víctimas con mensajes crípticos, muchos de ellos cargados de ironía; y Oracle, obviamente, no es la excepción.
En funcionamiento desde al menos 2020, las campañas anteriores de Cl0p —explotando los programas de transferencia de archivos MOVEit, Fortra GoAnywhere, y Cleo, siendo la más reciente— han comprometido a casi 3000 importantes organizaciones, recaudando cientos de millones de dólares.
El exploit MOVEIT, ocurrido en 2023, fue una de las campañas de hacking más extensas de la historia, afectando a más de 2600 organizaciones y casi 90 millones de personas.
Fuente: Cybernews