Η Envoy Air, ένας περιφερειακός αερομεταφορέας που ανήκει στην American Airlines, επιβεβαιώνει ότι τα δεδομένα της εφαρμογής Oracle E-Business Suite παραβιάστηκαν αφού η συμμορία εκβιαστών Clop κατέγραψε την American Airlines στον ιστότοπο διαρροής δεδομένων της.
«Γνωρίζουμε το περιστατικό που αφορά την εφαρμογή Oracle E-Business Suite του Envoy», είπε ο Envoy Air στο BleepingComputer.
“Μόλις μάθαμε το θέμα, ξεκινήσαμε αμέσως έρευνα και επικοινωνήσαμε με τις αρχές επιβολής του νόμου. Πραγματοποιήσαμε διεξοδική εξέταση των εν λόγω δεδομένων και επιβεβαιώσαμε ότι δεν επηρεάστηκαν ευαίσθητα δεδομένα ή δεδομένα πελατών. Ένας περιορισμένος αριθμός επιχειρηματικών πληροφοριών και εμπορικών στοιχείων επικοινωνίας ενδέχεται να έχουν παραβιαστεί.”
Η Envoy Air είναι θυγατρική της American Airlines και εκτελεί περιφερειακές πτήσεις με την επωνυμία American Eagle. Ενώ λειτουργεί ως ξεχωριστή εταιρεία, είναι ενσωματωμένη στο δίκτυο της American για έκδοση εισιτηρίων, προγραμματισμό και εξυπηρέτηση επιβατών.
Η συμμορία ransomware Clop διαρρέει τώρα αυτό που ισχυρίζεται ότι είναι τα δεδομένα που έχουν κλαπεί από την Envoy στον ιστότοπο διαρροής δεδομένων της, δηλώνοντας, “Η εταιρεία δεν ενδιαφέρεται για τους πελάτες της, αγνόησε την ασφάλειά τους!!!”
Αυτό το νέο περιστατικό ασφαλείας σχετίζεται με μια εκστρατεία κλοπής δεδομένων τον Αύγουστο που διεξήχθη από τον όμιλο εκβιασμών Clop, ο οποίος άρχισε να στέλνει με email αιτήματα εκβιασμού σε εταιρείες τον Σεπτέμβριο, ισχυριζόμενη ότι είχε κλέψει δεδομένα από τα συστήματα Oracle E-Business Suite.
Ενώ η Oracle δήλωσε αρχικά ότι οι φορείς απειλών εκμεταλλεύονταν ευπάθειες που είχαν διορθωθεί τον Ιούλιο, η εταιρεία αργότερα αποκάλυψε ότι η συμμορία εκβιαστών εκμεταλλεύτηκε ένα ελάττωμα μηδενικής ημέρας που εντοπίστηκε ως CVE-2025-61882 στις επιθέσεις.
Οι CrowdStrike και Mandiant αργότερα αποκάλυψαν ότι ο Clop εκμεταλλεύτηκε τα ελαττώματα στις αρχές Αυγούστου για να παραβιάσει συστήματα και να αναπτύξει κακόβουλο λογισμικό.
Ενώ ο Clop δεν μοιράστηκε πόσες εταιρείες επηρεάστηκαν από τις επιθέσεις κλοπής δεδομένων, ο John Hultquist της Google είπε στο BleepingComputer μέσω email ότι πιστεύουν ότι επηρεάστηκαν δεκάδες οργανισμοί.
Η συμμορία Clop εκβιάζει επίσης το Πανεπιστήμιο του Χάρβαρντ ως μέρος αυτής της ίδιας εκστρατείας κλοπής δεδομένων, με το πανεπιστήμιο να επιβεβαιώνει στο BleepingComputer ότι το περιστατικό επηρεάζει “περιορισμένο αριθμό μερών που συνδέονται με μια μικρή διοικητική μονάδα”.
Την περασμένη εβδομάδα, η Oracle επιδιορθώθηκε σιωπηλά ένα άλλο E-Business Suite zero-day παρακολούθησης CVE-2025-61884 χωρίς να αποκαλύψει ότι έγινε ενεργή εκμετάλλευση τον Ιούλιο του 2025.
Αυτό το zero-day συνδέεται με ένα exploit που διέρρευσε από την ομάδα εκβιασμών Shiny Lapsus$ Hunters στο Telegram.
Η American Airlines υπέστη προηγουμένως παραβιάσεις δεδομένων το 2022 και το 2023 που αποκάλυψαν τα προσωπικά στοιχεία των εργαζομένων.
Ποιος είναι ο Clop;
Η λειτουργία Clop ransomware, η οποία παρακολουθείται επίσης ως TA505, Cl0p και FIN11, ξεκίνησε το 2019 όταν άρχισε να παραβιάζει εταιρικά δίκτυα για να αναπτύξει μια παραλλαγή του ransomware CryptoMix και να κλέψει δεδομένα.
Από το 2020, η συμμορία των εκβιαστών μεταπήδησε από το κυρίως ransomware στην εκμετάλλευση των τρωτών σημείων zero-day σε ασφαλείς πλατφόρμες μεταφοράς αρχείων ή αποθήκευσης δεδομένων για την κλοπή δεδομένων.
Μερικές από τις επιθέσεις τους που χρησιμοποιούν ελαττώματα μηδενικής ημέρας περιλαμβάνουν:
Το Υπουργείο Εξωτερικών των ΗΠΑ προσφέρει επί του παρόντος ανταμοιβή 10 εκατομμυρίων δολαρίων για πληροφορίες που συνδέουν τις δραστηριότητες ransomware του Clop με μια ξένη κυβέρνηση.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
