A Envoy Air, uma companhia aérea regional de propriedade da American Airlines, confirma que os dados foram comprometidos de seu aplicativo Oracle E-Business Suite depois que a gangue de extorsão Clop listou a American Airlines em seu site de vazamento de dados.
“Estamos cientes do incidente envolvendo o aplicativo Oracle E-Business Suite da Envoy”, disse a Envoy Air ao BleepingComputer.
“Ao saber do assunto, imediatamente iniciamos uma investigação e a polícia foi contatada. Realizamos uma revisão completa dos dados em questão e confirmamos que nenhum dado confidencial ou do cliente foi afetado. Uma quantidade limitada de informações comerciais e detalhes de contato comercial pode ter sido comprometida.”
A Envoy Air é uma subsidiária da American Airlines e opera voos regionais sob a marca American Eagle. Embora funcione como uma empresa separada, está integrada à rede da American para emissão de bilhetes, agendamento e serviço de passageiros.
A gangue de ransomware Clop agora está vazando o que eles afirmam ser os dados roubados da Envoy em seu site de vazamento de dados, afirmando: “A empresa não se importa com seus clientes, ignorou sua segurança!!”
Este novo incidente de segurança está relacionado a uma campanha de roubo de dados realizada em agosto pelo grupo de extorsão Clop, que começou enviando demandas de extorsão por e-mail para empresas em setembro, alegando ter roubado dados dos sistemas Oracle E-Business Suite.
Embora a Oracle tenha declarado inicialmente que os agentes de ameaças estavam explorando vulnerabilidades corrigidas em julho, a empresa divulgou mais tarde que a gangue de extorsão explorou uma falha de dia zero rastreada comoCVE-2025-61882 nos ataques.
CrowdStrike e Mandiant revelaram mais tarde que Clop explorou as falhas no início de agosto para violar sistemas e implantar malware.
Embora o Clop não tenha compartilhado quantas empresas foram afetadas pelos ataques de roubo de dados, John Hultquist, do Google, disse ao BleepingComputer por e-mail que eles acreditam que dezenas de organizações foram afetadas.
A gangue Clop também é extorquir a Universidade de Harvard como parte dessa mesma campanha de roubo de dados, com a universidade confirmando ao BleepingComputer que o incidente afeta um “número limitado de partes associadas a uma pequena unidade administrativa”.
A semana passada A Oracle corrigiu silenciosamente outro dia zero do E-Business Suite rastreadoCVE-2025-61884 sem divulgar que foi explorado ativamente em julho de 2025.
Este dia zero está vinculado a um exploit vazado pelo grupo de extorsão Shiny Lapsus$ Hunters no Telegram.
A American Airlines já sofreu violações de dados em 2022 e 2023 que expôs as informações pessoais dos funcionários.
Quem é Clop?
A operação de ransomware Clop, também rastreada como TA505, Cl0p e FIN11, foi lançada em 2019, quando começou a violar redes corporativas para implantar uma variante do ransomware CryptoMix e roubar dados.
Desde 2020, a gangue de extorsão mudou principalmente de ransomware para explorar vulnerabilidades de dia zero em plataformas seguras de transferência de arquivos ou armazenamento de dados para roubar dados.
Alguns de seus ataques usando falhas de dia zero incluem:
- 2020: Explorar umdia zero na plataforma Accellion FTA, afetando quase 100 organizações.
- 2021: Explorar umdia zero no SolarWinds Serv-U FTP software.
- 2023:Explorar umdia zero na plataforma GoAnywhere MFT, violando mais de 100 empresas.
- 2023: Explorar umdia zero no MOVEit Transfer foi a campanha mais extensa de Clop até hoje, onde uma exploração de dia zero permitiuRoubo de dados de 2.773 organizações em todo o mundo.
- 2024: Exploradodois Cleo transferência de arquivos de dia zero (CVE-2024-50623 e CVE-2024-55956) para roubar dados e extorquir empresas.
O Departamento de Estado dos EUA atualmente oferece umRecompensa de US$ 10 milhões para obter informações que vinculam as atividades de ransomware da Clop a um governo estrangeiro.
