American Airlines’ın sahibi olduğu bölgesel bir havayolu şirketi olan Envoy Air, Clop şantaj çetesinin veri sızıntısı sitesinde American Airlines’ı listelemesinin ardından Oracle E-Business Suite uygulamasındaki verilerin tehlikeye atıldığını doğruladı.
Envoy Air, BleepingComputer’a “Envoy’un Oracle E-Business Suite uygulamasıyla ilgili olayın farkındayız” dedi.
“Konunun öğrenilmesi üzerine derhal bir soruşturma başlattık ve kolluk kuvvetleriyle temasa geçildi. Söz konusu verileri kapsamlı bir şekilde inceledik ve hiçbir hassas verinin veya müşteri verisinin etkilenmediğini doğruladık. Sınırlı miktarda işletme bilgisi ve ticari iletişim bilgileri ele geçirilmiş olabilir.”
Envoy Air, American Airlines’ın bir yan kuruluşudur ve American Eagle markası altında bölgesel uçuşlar gerçekleştirmektedir. Ayrı bir şirket olarak faaliyet göstermesine rağmen biletleme, planlama ve yolcu hizmetleri için Amerika’nın ağına entegre edilmiştir.
Clop fidye yazılımı çetesi şimdi Envoy’dan çalındığını iddia ettikleri verileri veri sızıntısı sitesinde sızdırıyor ve şöyle diyor: “Şirket müşterilerini umursamıyor, onların güvenliğini görmezden geldi!!!”
Bu yeni güvenlik olayı, Oracle E-Business Suite sistemlerinden veri çaldığını iddia ederek Eylül ayında şirketlere şantaj taleplerini e-postayla göndermeye başlayan Clop şantaj grubu tarafından Ağustos ayında yürütülen bir veri hırsızlığı kampanyasıyla ilgilidir.
Oracle ilk başta tehdit aktörlerinin Temmuz ayında yamalanan güvenlik açıklarından yararlandığını belirtse de şirket daha sonra şantaj çetesinin saldırılarda CVE-2025-61882 olarak takip edilen sıfır gün kusurundan yararlandığını açıkladı.
CrowdStrike ve Mandiant daha sonra Clop’un ağustos ayının başında sistemleri ihlal etmek ve kötü amaçlı yazılım dağıtmak için bu kusurlardan yararlandığını ortaya çıkardı.
Clop, veri hırsızlığı saldırılarından kaç şirketin etkilendiğini paylaşmasa da Google’dan John Hultquist, BleepingComputer’a e-posta yoluyla düzinelerce kuruluşun etkilendiğine inandıklarını söyledi.
Clop çetesi aynı veri hırsızlığı kampanyasının bir parçası olarak Harvard Üniversitesi’nden de şantaj yapıyor ve üniversite BleepingComputer’a olayın “küçük bir idari birim ile bağlantılı sınırlı sayıda partiyi” etkilediğini doğruluyor.
Geçen hafta Oracle, Temmuz 2025’te aktif olarak kullanıldığını açıklamadan, sıfır gün takipli CVE-2025-61884 numaralı bir E-Business Suite’e sessizce yama uyguladı.
Bu sıfır gün, Shiny Lapsus$ Hunters gasp grubu tarafından Telegram’da sızdırılan bir istismarla bağlantılı.
American Airlines daha önce 2022 ve 2023 yıllarında çalışanların kişisel bilgilerinin açığa çıkmasına neden olan veri ihlallerine maruz kalmıştı.
Clop kimdir?
TA505, Cl0p ve FIN11 olarak da takip edilen Clop fidye yazılımı operasyonu, CryptoMix fidye yazılımının bir çeşidini dağıtmak ve verileri çalmak için kurumsal ağları ihlal etmeye başladığında 2019 yılında başlatıldı.
2020’den bu yana, gasp çetesi, verileri çalmak için öncelikli olarak fidye yazılımından güvenli dosya aktarımı veya veri depolama platformlarındaki sıfır gün güvenlik açıklarından yararlanmaya yöneldi.
Sıfır gün kusurlarını kullanan saldırılarından bazıları şunlardır:
ABD Dışişleri Bakanlığı şu anda Clop’un fidye yazılımı faaliyetlerini yabancı bir hükümetle ilişkilendiren bilgi için 10 milyon dolarlık bir ödül sunuyor.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.