A Envoy Air, companhia aérea regional controlada pela American Airlines, confirmou que dados foram comprometidos em sua aplicação Oracle E-Business Suite após o grupo de extorsão Clop listar a American Airlines em seu site de vazamento de dados.
“Estamos cientes do incidente envolvendo a aplicação Oracle E-Business Suite da Envoy”, declarou a Envoy Air ao BleepingComputer.
“Assim que tomamos conhecimento, iniciamos imediatamente uma investigação e acionamos as autoridades. Realizamos uma análise detalhada dos dados envolvidos e confirmamos que nenhuma informação sensível ou dados de clientes foram afetados. Apenas uma quantidade limitada de informações comerciais e contatos de negócios pode ter sido comprometida.”
A Envoy Air opera voos regionais sob a marca American Eagle e, embora seja uma subsidiária independente, está integrada à rede da American Airlines nos sistemas de emissão de passagens, agendamento e atendimento ao passageiro.
O grupo Clop, responsável por ataques com ransomware, começou a divulgar em seu site dados que afirma terem sido roubados da Envoy, acusando a empresa de negligenciar a segurança de seus clientes.
“A empresa não se importa com seus clientes; ignorou a segurança deles!”, afirmam os criminosos.
Esse novo incidente está relacionado a uma campanha de roubo de dados ocorrida em agosto, quando o grupo Clop passou a enviar e-mails de extorsão em setembro, alegando ter obtido acesso a sistemas Oracle E-Business Suite.
Inicialmente, a Oracle declarou que o grupo explorava vulnerabilidades corrigidas em julho, mas depois admitiu que os ataques usaram uma falha zero-day identificada como
CVE-2025-61882
.
As empresas de cibersegurança CrowdStrike e Mandiant revelaram que o Clop abusou dessas vulnerabilidades no início de agosto para invadir sistemas e instalar malware.
Embora o grupo Clop não tenha divulgado o número exato de empresas afetadas, John Hultquist, do Google, disse ao BleepingComputer que acredita que dezenas de organizações foram impactadas.
Entre os alvos da campanha de roubo do Clop está também a Universidade de Harvard, que confirmou ter sofrido um incidente que afetou “um número limitado de partes associadas a uma pequena unidade administrativa”.
Na semana passada, a Oracle corrigiu silenciosamente outra falha zero-day no E-Business Suite, identificada como
CVE-2025-61884
, sem informar publicamente que estava sendo explorada ativamente desde julho de 2025.
Essa vulnerabilidade está ligada a um exploit vazado pelo grupo extorsionista Shiny Lapsus$ Hunters no Telegram.
A American Airlines já enfrentou vazamentos de dados em 2022 e 2023 que expuseram informações pessoais de funcionários.
O grupo Clop, também conhecido como TA505, Cl0p e FIN11, atua desde 2019.
Inicialmente, invadia redes corporativas para instalar variantes do ransomware CryptoMix e roubar dados.
A partir de 2020, mudou o foco principal para a exploração de vulnerabilidades zero-day em plataformas de transferência segura de arquivos e armazenamento de dados, visando o roubo de informações.
Alguns ataques notórios usando zero-days incluem:
• 2020: Exploração de vulnerabilidade zero-day na plataforma Accellion FTA, afetando quase 100 organizações.
• 2021: Exploração de zero-day no software SolarWinds Serv-U FTP.
• 2023: Zero-day no GoAnywhere MFT, comprometendo mais de 100 empresas.
• 2023: Campanha mais extensa do Clop, explorando zero-day no MOVEit Transfer, com roubo de dados de 2.773 organizações no mundo.
• 2024: Exploração de duas vulnerabilidades zero-day na Cleo file transfer (CVE-2024-50623 e
CVE-2024-55956
) para roubo de dados e extorsão.
O Departamento de Estado dos EUA atualmente oferece recompensa de US$ 10 milhões por informações que conectem as atividades do ransomware Clop a algum governo estrangeiro.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...