**Oracle PeopleSoft**, una suite de software empresarial crítica para la gestión de operaciones como RR. HH., nóminas y finanzas, se encuentra actualmente bajo el asedio del grupo de extorsión **ShinyHunters**. La banda afirma haber exfiltrado datos de más de 100 organizaciones, afectando a cientos de instancias de **PeopleSoft**. ### Demandas de Extorsión y Reclamaciones de Ataque Los informes indican que los clientes de **Oracle PeopleSoft**, tanto los que utilizan implementaciones en la nube como las locales, han recibido demandas de extorsión atribuidas a **ShinyHunters**. Los actores de la amenaza han confirmado su participación, afirmando haber violado aproximadamente 300 instancias en más de 100 organizaciones. ### Explotación de Vulnerabilidades **ShinyHunters** afirma que sus ataques explotan una 'cadena de gadgets' que combina vulnerabilidades previamente conocidas y de día cero. Sin embargo, señalan que el éxito de su explotación varía, lo que sugiere que puede depender de configuraciones específicas del sistema. **Oracle** aún no ha comentado públicamente sobre la explotación de posibles vulnerabilidades de día cero. ### Enfoque en el Sector Educativo La mayoría de las organizaciones afectadas por estos ataques parecen pertenecer al sector educativo. **ShinyHunters** también afirmó un intento inicial, sin éxito, de violar un portal del **FBI** que ejecutaba **PeopleSoft** para difundir una declaración. La **Universidad de Nottingham** ha sido identificada como víctima, y sus datos supuestamente se publicaron en el sitio de filtración de datos de **ShinyHunters**. La universidad ha reconocido haber sufrido un incidente de ciberseguridad. ### Emergen Indicadores de Compromiso (IOCs) El investigador de ciberseguridad "Michael R" ha descubierto varios directorios en línea expuestos que contienen herramientas relacionadas con estos ataques. Estos directorios revelan materiales de preparación, incluidos agentes de **MeshCentral** y scripts para la modificación de sistemas y el rociado de credenciales. **Michael R** compartió las siguientes direcciones IP como **IOCs** relacionados con los ataques en curso: ``` 185.220.101.236 185.220.100.138 185.220.101.138 185.220.100.136 185.220.101.136 ``` Algunas de estas direcciones IP están asociadas con un certificado TLS para "azurenetfiles[.]net", un dominio previamente vinculado a la banda **ShinyHunters**. ### Metodología de Ataque Revelada El análisis de los archivos `.bash_history` encontrados en cinco de los servidores comprometidos proporciona información sobre la metodología de ataque. Se descubrió un script de shell diseñado para desplegar una nota de rescate, "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT", en los servidores internos de **PeopleSoft** después de la intrusión.  El script identifica los sistemas relacionados con **PeopleSoft** analizando `/etc/hosts` e intenta establecer conexiones SSH utilizando cuentas administrativas comunes como 'psoft', 'oracle' y 'linuxadm'. Si la autenticación por contraseña falla, intenta la autenticación basada en claves SSH. Tras una conexión exitosa, la nota de rescate se coloca en directorios asociados con los servidores web y de aplicaciones de **PeopleSoft**. ### Recomendaciones Urgentes para Usuarios de **PeopleSoft** Se recomienda encarecidamente a las organizaciones que operan instancias de **Oracle PeopleSoft** que revisen inmediatamente sus registros en busca de cualquier conexión originada en los **IOCs** mencionados anteriormente. Si se encuentran estos indicadores, se deben iniciar medidas de respuesta a incidentes inmediatas, incluida una investigación exhaustiva sobre posibles compromisos y la consideración de aislar temporalmente los servidores afectados del acceso a Internet hasta que el entorno pueda ser asegurado y revisado.