Envoy Air, koja posluje pod brendom American Eagle, potvrdila je da su hakeri ukrali poslovne podatke kompanije.
Podružnica American Airlinesa bila je dio nedavne sajber kampanje usmjerene na organizacije koje koriste Oracleovo rješenje za upravljanje preduzećima – E-Business Suite (EBS).
Krajem prošle nedjelje, American Airlines se pojavio na Tor sajtu za curenje podataka grupe za otkup Cl0p. Kampanja protiv Oracle EBS sistema pripisuje se upravo Cl0p grupi i povezuje sa poznatom sajber kriminalnom grupom FIN11.
U trenutku pisanja, hakeri su već objavili navodno ukradene podatke American Airlinesa – više od 26 GB arhiviranih fajlova.
Iako su napadači označili American Airlines kao metu, izgleda da je zapravo napadnut Oracle EBS sistem koji koristi Envoy Air.
Kompanija Envoy Air, sa sjedištem u Teksasu, opisuje sebe kao najvećeg regionalnog prevoznika za American Airlines, sa preko 800 letova dnevno ka više od 160 destinacija pod brendom American Eagle.
U saopštenju za medije, Envoy je potvrdio da je pogođen ovom kampanjom, ali je naglasio da istraga nije otkrila kompromitovanje podataka klijenata ili drugih osjetljivih informacija.
Međutim, kompanija je priznala da je „ograničena količina poslovnih informacija i komercijalnih kontakata mogla biti kompromitovana“.
Prva potvrđena žrtva Oracle EBS hakerskog napada bila je Harvard univerzitet. Na Cl0p sajtu su se potom pojavile i druge organizacije, uključujući Univerzitet Witwatersrand iz Johanesburga, Južnoafrička Republika.
Južnoafrički univerzitet potvrdio je na svom sajtu da je bio meta napada i da radi na utvrđivanju obima kompromitovanih podataka. Hakeri su već objavili fajlove za koje tvrde da su ukradeni od Univerziteta Witwatersrand.
Na Cl0p listi se nalazi i industrijski gigant Emerson, ali do trenutka pisanja nisu objavljeni njegovi podaci.
Desetine žrtava Oracle EBS kampanje dobile su mejlove sa zahtjevima za otkup. Organizacije koje su se pojavile na Cl0p sajtu najvjerovatnije su one koje su odbile da plate otkupninu.
Iako se kampanja povezuje sa grupama Cl0p i FIN11, Googleova Mandiant jedinica razlikuje više hakerskih klastera unutar FIN11 strukture, pa nije jasno koji je tačno odgovoran za ovaj napad.
Takođe, još uvijek nije poznato koje su Oracle EBS ranjivosti iskorišćene u napadu. Oracle je prvobitno naveo da su zloupotrijebljene poznate ranjivosti zakrpljene u julu, a kasnije objavio zakrpe za zero-day propust (CVE-2025-61882) koji je, kako se čini, aktivno iskorišćen u kampanji. Kompanija je takođe popravila još jedan EBS propust (CVE-2025-61884) koji otkriva osjetljive podatke, ali nije precizirano da li je i on bio eksploatisan.
Izvor: SecurityWeek
