A Envoy Air, uma transportadora aérea regional detida pela American Airlines, confirmou ter sido vítima de um ciberataque que comprometeu dados da sua aplicação Oracle E-Business Suite. O ataque foi reivindicado pelo grupo de extorsão Clop, que já começou a divulgar os dados roubados.
Numa declaração ao BleepingComputer, a Envoy Air afirmou estar ciente do incidente. "Após tomarmos conhecimento do assunto, iniciámos imediatamente uma investigação e as autoridades foram contactadas. Realizámos uma análise exaustiva dos dados em questão e confirmámos que não foram afetados dados sensíveis ou de clientes. Uma quantidade limitada de informação comercial e detalhes de contacto empresarial pode ter sido comprometida", explicou a companhia.
A Envoy Air opera voos regionais sob a marca American Eagle e, embora seja uma empresa separada, está integrada na rede da American Airlines. O grupo Clop, por sua vez, publicou no seu site de fugas de informação que "a empresa não se preocupa com os seus clientes, ignorou a sua segurança!!!".
Um ataque em larga escala
Este incidente faz parte de uma campanha de roubo de dados mais vasta, levada a cabo pelo grupo Clop em agosto. Os atacantes começaram a enviar exigências de extorsão em setembro, alegando ter explorado vulnerabilidades nos sistemas Oracle E-Business Suite.
Inicialmente, a Oracle indicou que os criminosos estariam a explorar falhas corrigidas em julho. No entanto, a empresa acabou por admitir que o grupo explorou uma vulnerabilidade "zero-day", identificada como CVE-2025-61882. Especialistas da CrowdStrike e Mandiant revelaram que as falhas foram exploradas no início de agosto para instalar malware e extrair dados, com estimativas a apontar para dezenas de organizações afetadas, incluindo a Universidade de Harvard.
Recentemente, a Oracle corrigiu silenciosamente outra falha "zero-day" (CVE-2025-61884) no E-Business Suite, que estava a ser explorada ativamente desde julho de 2025 e cujos detalhes foram divulgados pelo grupo de extorsão Shiny Lapsus$ Hunters no Telegram.
Clop: um historial de ataques 'zero-day'
O grupo de ransomware Clop, também conhecido como TA505 ou FIN11, está ativo desde 2019. A partir de 2020, o grupo mudou a sua estratégia, focando-se na exploração de vulnerabilidades "zero-day" em plataformas de transferência segura de ficheiros para roubar dados em massa.
Entre os seus ataques mais notórios contam-se:
2020: Exploração de uma falha na plataforma Accellion FTA, afetando quase 100 organizações.
2021: Ataque a uma vulnerabilidade no software SolarWinds Serv-U FTP.
2023: Invasão de mais de 100 empresas através de uma falha na plataforma GoAnywhere MFT.
2023: A sua maior campanha até à data, explorando uma falha no MOVEit Transfer que resultou no roubo de dados de 2.773 organizações a nível mundial.
2024: Exploração de duas vulnerabilidades "zero-day" na Cleo para roubar dados e extorquir empresas.
A gravidade das suas ações levou o Departamento de Estado dos EUA a oferecer uma recompensa de 10 milhões de dólares por informações que liguem as atividades do Clop a um governo estrangeiro.
Nenhum comentário
Seja o primeiro!