Una reciente alerta de Google ha puesto en evidencia una campaña de extorsión por correo electrónico dirigida a ejecutivos y departamentos tecnológicos de grandes empresas. En esta ofensiva, un grupo de hackers afirma haber sustraído información confidencial de aplicaciones empresariales de Oracle, exigiendo rescates que alcanzan cifras millonarias.

Según reportaron Reuters y Bloomberg, la campaña comenzó el 29 de septiembre o antes, y utiliza correos enviados desde cientos de cuentas comprometidas para presionar a las víctimas y obtener pagos a cambio de no divulgar los datos supuestamente robados.

De acuerdo con el Grupo de Inteligencia de Amenazas de Google, los atacantes han centrado sus esfuerzos en la Oracle E-Business Suite, una plataforma que gestiona operaciones críticas como finanzas, cadena de suministro y relaciones con clientes en grandes organizaciones.

Los correos de extorsión, caracterizados por un inglés deficiente y errores gramaticales, han sido enviados a ejecutivos y equipos tecnológicos de empresas internacionales, según detalló Genevieve Stark, responsable de ciberdelincuencia en Google, a Bloomberg. Los mensajes aseguran que los hackers han accedido a datos sensibles y exigen pagos que, en algunos casos, llegan hasta USD 50 millones, según la firma de ciberseguridad Halcyon, que actualmente asiste a varias de las compañías afectadas.

El método utilizado por los atacantes, según Halcyon y Google, consiste en comprometer cuentas de correo electrónico de usuarios y explotar la función predeterminada de restablecimiento de contraseñas en portales de Oracle E-Business Suite expuestos en internet.

Esta táctica les ha permitido obtener credenciales válidas y acceder a información interna de las empresas. Los hackers han presentado a las víctimas supuestas pruebas de su acceso, como capturas de pantalla y listados de archivos, con el objetivo de aumentar la presión para el pago del rescate.

Las demandas económicas varían ampliamente, desde varios millones hasta decenas de millones de dólares, con la cifra más alta reportada en USD 50 millones, de acuerdo con Cynthia Kaiser, directora del Centro de Investigación de Ransomware de Halcyon, citada por Reuters. Kaiser explicó que “hemos visto a Cl0p exigir rescates de siete y ocho cifras en los últimos días”, y añadió que el grupo responsable es conocido por el robo masivo y sigiloso de datos, lo que incrementa su capacidad de negociación.

No obstante, Google han podido confirmar si alguna de las empresas extorsionadas ha accedido a pagar las sumas solicitadas.

En cuanto a la autoría, los hackers aseguran estar afiliados al grupo de ransomware Cl0p, una organización criminal reconocida por ataques a gran escala contra empresas. Según Stark, al menos una de las direcciones de correo empleadas en la campaña ya había sido utilizada previamente por un afiliado de Cl0p, y los mensajes contienen datos de contacto que figuran en el propio sitio web del grupo.

Sin embargo, tanto Google como Halcyon subrayan que aún no existen pruebas concluyentes que permitan verificar la autenticidad de las afirmaciones de los atacantes ni su vínculo directo con Cl0p. “Actualmente no tiene pruebas suficientes para evaluar definitivamente la veracidad de estas afirmaciones”, indicó Google. Kaiser, por su parte, señaló que “hay mucha superposición entre todos estos grupos y hay imitadores en todo el ecosistema”.

Oracle, la empresa proveedora de la plataforma comprometida, no ha respondido a las solicitudes de comentarios realizadas por Reuters y Bloomberg. Mientras tanto, Halcyon continúa investigando el alcance de la campaña y asistiendo a las organizaciones afectadas.

El historial de Cl0p incluye ataques previos de alto perfil. En 2023, el grupo fue acusado de explotar vulnerabilidades en MOVEit, un producto de transferencia de archivos utilizado por empresas y organismos para el envío de datos sensibles, y de haber accedido a información de cientos de organizaciones. La sofisticación de sus métodos y la magnitud de sus objetivos refuerzan la preocupación sobre la capacidad de estos grupos para comprometer la seguridad de grandes corporaciones a nivel global.