Grupos de atacantes asociados con el ransomware Clop han comenzado a enviar correos electrónicos a clientes de Oracle, solicitando pagos de extorsión y alegando haber robado datos de su E-Business Suite. Aunque los investigadores no han confirmado la veracidad de estas afirmaciones, se están llevando a cabo múltiples investigaciones sobre los entornos de Oracle pertenecientes a las organizaciones que recibieron dichas comunicaciones.
¿Extorsión o robo de datos real?
Según Charles Carmakal, CTO de Mandiant Consulting, se ha observado una campaña de correo electrónico de alto volumen lanzada desde cientos de cuentas comprometidas. Los correos contienen información de contacto y, curiosamente, se ha verificado que algunas de las direcciones proporcionadas están listadas públicamente en el sitio de fuga de datos de Clop. A pesar de ello, Clop aún no ha hecho públicas sus reclamaciones en sus plataformas de filtración.
La campaña de extorsión ha implicado el envío de correos electrónicos dirigidos a ejecutivos de empresas desde cuentas de terceros comprometidas, iniciando o antes del 29 de septiembre. Genevieve Stark, líder de análisis de inteligencia sobre cibercrimen en Google Threat Intelligence Group, comentó que, aunque los indicios apuntan a Clop, no está claro si las reclamaciones del grupo son creíbles ni cómo obtuvieron acceso a la información de Oracle.
Aunque se están realizando esfuerzos para determinar la autenticidad de estas amenazas, actualmente no hay evidencia de un robo exitoso de datos ni de un malware específico relacionado con esta campaña. Las comunicaciones extorsivas presionan a las víctimas para que inicien negociaciones, pero no incluyen demandas concretas. Investigadores trabajan de manera continua para aclarar los detalles de cómo se produjo este posible acceso a la E-Business Suite de Oracle y el impacto que podría tener en sus clientes.
