Envoy Air, maskapai regional milik American Airlines yang beroperasi di bawah merek American Eagle, mengonfirmasi adanya insiden kebocoran data dari sistem Oracle E-Business Suite setelah kelompok pemeras data Clop mencantumkan nama American Airlines di situs kebocoran mereka.
Dalam pernyataannya kepada BleepingComputer, Envoy Air menyatakan:
“Kami menyadari insiden yang melibatkan aplikasi Oracle E-Business Suite milik Envoy. Setelah mengetahui hal tersebut, kami segera melakukan investigasi dan melibatkan aparat penegak hukum. Berdasarkan peninjauan menyeluruh, kami memastikan tidak ada data sensitif atau data pelanggan yang terdampak. Namun, sejumlah kecil informasi bisnis dan kontak komersial kemungkinan telah terkompromi.”
Kronologi dan Dampak Insiden
Meskipun Envoy Air beroperasi secara terpisah, sistemnya tetap terintegrasi dalam jaringan American Airlines untuk keperluan tiket, jadwal penerbangan, dan layanan penumpang.
Kelompok Clop ransomware kini mengklaim telah membocorkan data yang mereka curi dari sistem Envoy dan menuliskan pesan provokatif di situs mereka:
“Perusahaan ini tidak peduli terhadap pelanggannya, mereka mengabaikan keamanan mereka!!!”
Serangan ini merupakan bagian dari kampanye pencurian data berskala besar yang dilakukan Clop sejak Agustus 2025. Dalam kampanye tersebut, kelompok ini mengirim email pemerasan ke berbagai perusahaan pada September, mengaku telah mencuri data dari sistem Oracle E-Business Suite.
Awalnya, Oracle menyebut bahwa serangan tersebut memanfaatkan kerentanan yang telah ditambal pada Juli 2025. Namun kemudian diketahui bahwa pelaku mengeksploitasi celah zero-day baru yang dilacak sebagai CVE-2025-61882.
Menurut laporan CrowdStrike dan Mandiant, kelompok Clop mulai mengeksploitasi celah ini pada awal Agustus, menembus sistem perusahaan, dan menanamkan malware untuk mencuri data.
Serangan Meluas ke Banyak Organisasi
Walaupun Clop tidak mengungkap jumlah pasti korban, analis keamanan John Hultquist dari Google memperkirakan bahwa puluhan organisasi telah menjadi korban.
Selain American Airlines, Harvard University juga termasuk di antara target kampanye ini. Pihak universitas mengonfirmasi bahwa insiden tersebut berdampak pada “sejumlah pihak terbatas yang terkait dengan satu unit administratif kecil.”
Menariknya, Oracle baru-baru ini juga menambal kerentanan zero-day lain (CVE-2025-61884) di produk E-Business Suite, yang diduga telah dieksploitasi sejak Juli 2025. Celah ini terkait dengan exploit yang dibocorkan oleh kelompok Shiny Lapsus$ Hunters di Telegram.
Sejarah Serangan Clop
Clop, yang juga dikenal dengan nama lain seperti TA505, Cl0p, atau FIN11, pertama kali muncul pada 2019 dengan serangan berbasis ransomware CryptoMix. Namun sejak 2020, kelompok ini beralih ke strategi pemerasan berbasis data (data extortion) dengan mengeksploitasi celah zero-day pada berbagai platform transfer file dan penyimpanan data.
Beberapa kampanye besar Clop di antaranya:
- 2020: Eksploitasi zero-day di Accellion FTA, memengaruhi hampir 100 organisasi.
- 2021: Eksploitasi celah di SolarWinds Serv-U FTP.
- 2023: Serangan besar terhadap GoAnywhere MFT dan MOVEit Transfer, mencuri data dari 2.773 organisasi di seluruh dunia.
- 2024: Eksploitasi dua celah zero-day pada platform Cleo (CVE-2024-50623 dan CVE-2024-55956).
Akibat aktivitas globalnya, Departemen Luar Negeri AS menawarkan hadiah hingga USD 10 juta bagi siapa pun yang dapat memberikan informasi yang menghubungkan operasi Clop dengan pemerintah asing.
Insiden terbaru terhadap Envoy Air menandai lanjutan pola serangan Clop terhadap rantai pasok perangkat lunak korporasi besar — dengan memanfaatkan celah zero-day sebelum vendor sempat mengumumkan atau menambalnya.
Sumber: BleepingComputer