Az Envoy Air, az American Airlines regionális légitársasága, megerősítette, hogy adatokat kompromittáltak az Oracle E-Business Suite alkalmazásukban, miután a Clop zsarolóvírus csoport az American Airlines-t is feltüntette adatlopási oldalán.
Az incidens részletei és a válaszlépések
Az Envoy Air hivatalos közleménye szerint: „Tudomásunk van az Envoy Oracle E-Business Suite alkalmazását érintő incidensről. A probléma észlelése után azonnal megkezdtük a vizsgálatot, és értesítettük a hatóságokat. Alaposan átvizsgáltuk az érintett adatokat, és megerősítettük, hogy semmilyen érzékeny vagy ügyféladat nem sérült.”
Ugyanakkor egy korlátozott mennyiségű üzleti információ és kereskedelmi kapcsolattartói adatok esetleg kompromittálódtak.
Fontos megjegyezni, hogy az Envoy Air az American Airlines leányvállalata, amely regionális járatokat üzemeltet az American Eagle márkanév alatt. Bár különálló cégként működik, integrált része az American Airlines hálózatának a jegyértékesítés, menetrendek és utas-szolgáltatások terén.
A Clop zsarolóvírus csoport és a támadás háttere
A Clop ransomware banda jelenleg nyilvánosságra hozza az Envoy-tól állítólag ellopott adatokat saját adatlopási oldalán. Az oldal szerint: „A cég nem törődik ügyfeleivel, figyelmen kívül hagyta biztonságukat!”
Ez a biztonsági incidens egy augusztusi adatlopási kampány része, amelyet a Clop zsarolóvírus csoport hajtott végre. A támadók szeptemberben kezdtek zsarolóleveleket küldeni különböző cégeknek, állítva, hogy Oracle E-Business Suite rendszereikből loptak adatokat.
Az Oracle eredetileg azt közölte, hogy a támadók olyan sebezhetőségeket használtak ki, amelyeket júliusban már javítottak. Később azonban kiderült, hogy a támadók egy zero-day hibát (CVE-2025-61882) is kihasználtak az akció során.
A CrowdStrike és a Mandiant biztonsági cégek felfedték, hogy a Clop már augusztus elején kihasználta ezeket a hibákat rendszerek feltörésére és rosszindulatú szoftverek telepítésére.
Bár a Clop nem árulta el pontosan hány szervezet érintett az adatlopásban, John Hultquist (Google) e-mailben úgy nyilatkozott a BleepingComputernek, hogy több tucat szervezet lehet érintett.
Kapcsolódó incidensek és további érintettek
A Clop banda ugyanebben a kampányban zsarolja a Harvard Egyetemet is. Az egyetem megerősítette a BleepingComputer számára, hogy az incidens „korlátozott számú személyt érint egy kis adminisztratív egységen belül”.
Továbbá az Oracle nemrégiben csendben javított egy másik E-Business Suite zero-day sebezhetőséget (CVE-2025-61884), amelyet szintén aktívan kihasználtak 2025 júliusában. Ez a hiba összefüggésbe hozható egy Telegramon kiszivárgott exploit-tal, amelyet a Shiny Lapsus$ Hunters nevű zsarolóvírus csoport tett közzé.
Az American Airlines korábban is áldozata volt adatvédelmi incidenseknek 2022-ben és 2023-ban, amikor alkalmazottai személyes adatai kerültek veszélybe.
Kik azok a Clop zsarolóvírus csoport?
A Clop ransomware művelet (más néven TA505, Cl0p vagy FIN11) 2019-ben indult. Akkoriban vállalati hálózatokat törtek fel CryptoMix ransomware variáns telepítésével és adatok ellopásával.
2020-tól kezdve azonban főként áttértek arra, hogy zero-day sebezhetőségeket használjanak ki biztonságos fájlátviteli vagy adattároló platformokon, ezzel lopva el értékes információkat.
Néhány ismert zero-day alapú támadásuk:
- Oracle E-Business Suite sebezhetőségek kihasználása (CVE-2025-61882 és CVE-2025-61884)
- Egyéb vállalati rendszerek feltörése és adatok ellopása
Az Egyesült Államok Külügyminisztériuma jelenleg 10 millió dolláros díjat ajánl fel azoknak az információknak megszerzéséért, amelyek összekapcsolják a Clop tevékenységeit egy külföldi kormánnyal.
A jelszófeltörések növekedése és védekezési lehetőségek
A legfrissebb adatok szerint a környezetek 46%-ában történt jelszófeltörés, ami majdnem kétszerese a tavalyi 25%-nak. Ez rávilágít arra, milyen fontos ma már komplex védekezési stratégiákat alkalmazni.
A Picus Blue Report 2025 átfogó elemzést nyújt megelőzési, felismerési és adattovábbítási trendekről. Érdemes beszerezni ezt a jelentést azoknak a szervezeteknek, akik szeretnék erősíteni kiberbiztonsági védelmüket.
Összegzés
Az Envoy Air elleni támadás ismét rámutat arra, milyen sebezhetőek lehetnek még nagyvállalatok is az újabb zero-day sebezhetőségek kihasználásával szemben. Bár jelen esetben ügyféladatok nem sérültek meg, az üzleti információk kompromittálódása is komoly kockázatot jelent.
A Clop zsarolóvírus banda tevékenysége továbbra is fenyegetést jelent számos iparág számára világszerte. A vállalatoknak folyamatosan frissíteniük kell rendszereiket és fejleszteniük kell biztonsági protokolljaikat annak érdekében, hogy megelőzzék hasonló incidenseket.