Американската авиокомпания American Airlines потвърди, че един от нейните регионални превозвачи е станал жертва на атака с рансъмуер от групировката Cl0p. Случаят е част от последната кампания за изнудване на Cl0p, насочена към нулево-дневна уязвимост в платформата Oracle E-Business Suite (EBS).
Уязвимост в Oracle EBS – нова мишена на Cl0p
Cl0p, известна с мащабните си кампании за изнудване, е компрометирала стотици компании, използващи засегнатата версия на Oracle EBS. След като Oracle публикува спешна корекция на 4 октомври, престъпната група започна публично да публикува имената на жертвите си в даркнет пространството. Сред тях се появи и American Airlines.
Говорител на авиокомпанията заяви, че инцидентът касае Envoy Air – дъщерно дружество на American Airlines Group.
Cl0p не е уточнила името на засегнатия превозвач, като в публикацията си е посочила само официалния сайт AA.com и е добавила линк към предполагаем изтекъл архив от данни.
Envoy Air: бизнес информация, но не и клиентски данни
Envoy Air, основана през 1988 г., е един от най-големите регионални партньори на American Airlines и оперира под бранда American Eagle. Компанията има над 20 000 служители, 160 самолета и изпълнява около 875 полета дневно до повече от 160 дестинации.
В официално изявление Envoy потвърждава, че един от нейните ИТ системи, свързан с Oracle E-Business Suite, е бил засегнат от експлойта на Cl0p, но подчертава, че инцидентът не е повлиял на полетните или наземните операции.
„След обстоен преглед установихме, че няма засегнати чувствителни или клиентски данни,“ посочва компанията. „Ограничено количество бизнес информация и търговски контакти може да са били компрометирани.“
Envoy добавя, че веднага е започнало разследване и е уведомило правоохранителните органи.
Как Cl0p експлоатира уязвимостта в Oracle
Според анализ на Google Threat Research, Cl0p е стартирала експлойт кампанията още през юли 2025 г., използвайки верига от уязвимости в Oracle EBS, включително нулево-дневната CVE-2025-61882.
Комбинацията им е позволила неавторизиран отдалечен достъп и изпълнение на код (RCE), което е дало възможност на групата да извлича големи обеми от фирмени данни.
Oracle реагира с критична актуализация и призова всички клиенти незабавно да приложат корекциите.
Иронично, издаването на пача съвпада с масов имейл-бласт на Cl0p, с който престъпната група уведомява засегнатите организации за пробива и представя изнудваческите си условия.
Според изследователите, кампанията по изнудване е стартирана чрез стотици, ако не и хиляди компрометирани акаунти на трети страни, придобити от логове на инфостийлъри, продавани във форуми от тъмната мрежа.
Cl0p – дългосрочен играч в изнудването
Cl0p действа от поне 2020 г. и е известна със своя агресивен и мащабен подход. В предишни кампании групата е експлоатирала уязвимости във файловите платформи MOVEit, Fortra GoAnywhere и Cleo, компрометирайки стотици големи организации по света и генерирайки стотици милиони долари чрез изнудване.
Настоящата кампания, базирана на Oracle EBS, показва, че Cl0p продължава да е един от най-опасните и активни играчи на сцената на киберизнудването през 2025 г.
