El grupo de ransomware Clop ha lanzado una campaña dirigida a usuarios de Oracle E-Business Suite en Reino Unido, enviando correos electrónicos de extorsión a ejecutivos y directivos bajo amenaza de publicar datos supuestamente robados.
Las amenazas llegan a través de cientos de cuentas de email de terceros comprometidas, lo que otorga mayor credibilidad y dificulta la detección por filtros antispam. Según Austin Larsen, experto del Google Threat Intelligence Group, los ciberdelincuentes adquieren credenciales filtradas en foros clandestinos tras ataques con malware que roba datos.
Los mensajes, escritos en inglés con errores, exigen al pago de un rescate económico a cambio de no hacer públicos los datos confidenciales. Como prueba de su supuesto acceso, Clop ofrece enviar hasta tres archivos o filas de datos solicitados, tratando la extorsión como un negocio financiero sin motivación política.
Los correos instan a actuar con rapidez, avisando que las consecuencias de no pagar pueden superar ampliamente el coste exigido, mencionando riesgos reputacionales y multas regulatorias. En sus comunicaciones, Clop asegura:
“No buscamos poder político ni dañar el negocio, solo queremos el dinero y no volver a molestar”
Oracle no ha confirmado públicamente ninguna brecha. Sin embargo, el patrón y el estilo coinciden con ataques previos del mismo grupo, que suele entregar pruebas tras el pago para mantener su “reputación” entre víctimas.
Este uso de cuentas ajenas comprometidas para contactar directamente a ejecutivos refuerza una nueva línea táctica del grupo, que ahora presiona de forma más personalizada. Expertos en ciberseguridad recomiendan a las organizaciones no pagar el rescate, evitar negociar y reportar cualquier incidente a las autoridades.
Además, destacan la importancia de fortalecer la higiene de credenciales y políticas de respuesta ante incidentes para impedir que estas campañas tengan éxito. Pagar no garantiza la eliminación de datos filtrados y puede incentivar futuros ataques.
Clop sigue probando métodos que combinan ataques tecnológicos con presión directa sobre la toma de decisiones, en un contexto global donde el ransomware sigue siendo una amenaza mayor para empresas y gobiernos.
