Công ty con Envoy của American Airlines xác nhận vụ tấn công đánh cắp dữ liệu của Oracle
Envoy Air, một hãng hàng không khu vực thuộc sở hữu của American Airlines, xác nhận rằng dữ liệu đã bị xâm phạm từ ứng dụng Oracle E-Business Suite của hãng sau khi băng nhóm tống tiền Clop liệt kê American Airlines trên trang web rò rỉ dữ liệu của nhóm này.
Envoy Air chia sẻ với BleepingComputer rằng: "Chúng tôi đã biết về sự cố liên quan đến ứng dụng Oracle E-Business Suite của Envoy".
"Ngay khi biết được sự việc, chúng tôi đã ngay lập tức tiến hành điều tra và liên hệ với cơ quan thực thi pháp luật. Chúng tôi đã tiến hành xem xét kỹ lưỡng dữ liệu liên quan và xác nhận không có dữ liệu nhạy cảm hoặc dữ liệu khách hàng nào bị ảnh hưởng. Một lượng nhỏ thông tin doanh nghiệp và thông tin liên hệ thương mại có thể đã bị xâm phạm."
Envoy Air là công ty con của American Airlines và khai thác các chuyến bay khu vực dưới thương hiệu American Eagle. Mặc dù hoạt động như một công ty riêng biệt, Envoy Air vẫn được tích hợp vào mạng lưới của American về bán vé, đặt lịch bay và dịch vụ hành khách.
Nhóm ransomware Clop hiện đang tiết lộ những gì chúng cho là dữ liệu bị đánh cắp từ Envoy trên trang web rò rỉ dữ liệu của mình, tuyên bố rằng, "Công ty không quan tâm đến khách hàng của mình, họ đã phớt lờ vấn đề bảo mật của họ!!!"
Sự cố bảo mật mới này có liên quan đến chiến dịch đánh cắp dữ liệu vào tháng 8 do nhóm tống tiền Clop thực hiện. Nhóm này bắt đầu gửi email yêu cầu tống tiền tới các công ty vào tháng 9, tuyên bố đã đánh cắp dữ liệu từ hệ thống Oracle E-Business Suite.
Trong khi Oracle ban đầu tuyên bố rằng những kẻ tấn công đang khai thác các lỗ hổng đã được vá vào tháng 7, thì sau đó công ty tiết lộ rằng nhóm tống tiền đã khai thác lỗ hổng zero-day được theo dõi là CVE-2025-61882 trong các cuộc tấn công.
CrowdStrike và Mandiant sau đó tiết lộ rằng Clop đã khai thác lỗ hổng này vào đầu tháng 8 để xâm nhập hệ thống và triển khai phần mềm độc hại.
Trong khi Clop không chia sẻ có bao nhiêu công ty bị ảnh hưởng bởi các cuộc tấn công đánh cắp dữ liệu, John Hultquist của Google đã trả lời BleepingComputer qua email rằng họ tin rằng có hàng chục tổ chức đã bị ảnh hưởng.
Băng đảng Clop cũng đang tống tiền Đại học Harvard như một phần của chiến dịch đánh cắp dữ liệu này, khi trường đại học xác nhận với BleepingComputer rằng sự cố này chỉ ảnh hưởng đến "một số lượng hạn chế các bên liên quan đến một đơn vị hành chính nhỏ".
Tuần trước, Oracle đã âm thầm vá một lỗ hổng zero-day khác của E-Business Suite có tên CVE-2025-61884 mà không tiết lộ rằng lỗ hổng này đã bị khai thác tích cực vào tháng 7 năm 2025.
Lỗ hổng zero-day này có liên quan đến một lỗ hổng bị nhóm tống tiền Shiny Lapsus$ Hunters rò rỉ trên Telegram.
Trước đó, American Airlines đã bị vi phạm dữ liệu vào năm 2022 và 2023 khiến thông tin cá nhân của nhân viên bị lộ.
Clop là ai?
Hoạt động ransomware Clop, còn được theo dõi là TA505, Cl0p và FIN11, được triển khai vào năm 2019 khi nó bắt đầu xâm nhập vào mạng lưới công ty để triển khai một biến thể của ransomware CryptoMix và đánh cắp dữ liệu.
Từ năm 2020, băng nhóm tống tiền đã chuyển từ chủ yếu sử dụng ransomware sang khai thác lỗ hổng zero-day trong các nền tảng lưu trữ dữ liệu hoặc truyền tệp an toàn để đánh cắp dữ liệu.
Một số cuộc tấn công sử dụng lỗ hổng zero-day của chúng bao gồm:
2020: Khai thác lỗ hổng zero-day trong nền tảng Accellion FTA , ảnh hưởng đến gần 100 tổ chức.
2021: Khai thác lỗ hổng zero-day trong phần mềm FTP SolarWinds Serv-U .
2023: Khai thác lỗ hổng zero-day trong nền tảng GoAnywhere MFT , xâm phạm hơn 100 công ty.
2023: Khai thác lỗ hổng zero-day trong MOVEit Transfer là chiến dịch lớn nhất của Clop cho đến nay, trong đó lỗ hổng zero-day này cho phép đánh cắp dữ liệu từ 2.773 tổ chức trên toàn thế giới .
2024: Khai thác hai lỗ hổng zero-day trong chuyển tập tin Cleo (CVE-2024-50623 và CVE-2024-55956) để đánh cắp dữ liệu và tống tiền các công ty.
Bộ Ngoại giao Hoa Kỳ hiện đang treo thưởng 10 triệu đô la cho thông tin liên hệ các hoạt động ransomware của Clop với một chính phủ nước ngoài.
Theo : Bleeping Computer ® LLC
