Envoy Air, une compagnie aérienne régionale appartenant à American Airlines, confirme que des données ont été compromises à partir de son application Oracle E-Business Suite après que le gang d’extorsion Clop a répertorié American Airlines sur son site de fuite de données.
« Nous sommes au courant de l’incident impliquant l’application Oracle E-Business Suite d’Envoy », a déclaré Envoy Air à Breachtrace.
« En apprenant l’affaire, nous avons immédiatement ouvert une enquête et les forces de l’ordre ont été contactées. Nous avons procédé à un examen approfondi des données en cause et avons confirmé qu’aucune donnée sensible ou client n’a été affectée. Une quantité limitée d’informations commerciales et de coordonnées commerciales peut avoir été compromise. »
Envoy Air est une filiale d’American Airlines et opère des vols régionaux sous la marque American Eagle. Bien qu’elle fonctionne comme une entreprise distincte, elle est intégrée au réseau d’American pour la billetterie, la planification et le service aux passagers.
Le gang de ransomwares Clop divulgue maintenant ce qu’il prétend être les données volées à Envoy sur son site de fuite de données, déclarant: « L’entreprise ne se soucie pas de ses clients, elle a ignoré leur sécurité!!! »
Ce nouvel incident de sécurité est lié à une campagne de vol de données menée en août par le groupe d’extorsion Clop, qui a commencé à envoyer des demandes d’extorsion par courrier électronique aux entreprises en septembre, affirmant avoir volé des données des systèmes Oracle E-Business Suite.
Alors qu’Oracle avait initialement déclaré que les acteurs de la menace exploitaient des vulnérabilités corrigées en juillet, la société a révélé plus tard que le gang d’extorsion avait exploité une faille zero-day identifiée comme CVE-2025-61882 dans les attaques.
CrowdStrike et Mandiant ont révélé plus tard que Clop avait exploité les failles début août pour violer les systèmes et déployer des logiciels malveillants.
Bien que Clop ne souhaite pas dire combien d’entreprises ont été touchées par les attaques de vol de données, John Hultquist de Google a déclaré à Breachtrace par courrier électronique qu’ils pensaient que des dizaines d’organisations avaient été touchées.
Le gang Clop extorque également l’Université de Harvard dans le cadre de cette même campagne de vol de données, l’université confirmant à Breachtrace que l’incident affecte un » nombre limité de parties associées à une petite unité administrative. »
La semaine dernière, Oracle a silencieusement corrigé une autre suite de commerce électronique CVE-2025-61884 sans révéler qu’elle était activement exploitée en juillet 2025.
Ce jour zéro est lié à un exploit divulgué par le groupe d’extorsion Shiny Lapsus Hunters Hunters sur Telegram.
American Airlines a déjà subi des violations de données en 2022 et 2023 qui ont exposé les informations personnelles des employés.
Qui est Clop?
L’opération de ransomware Clop, également connue sous les noms de TA505, Cl0p et FIN11, a été lancée en 2019 lorsqu’elle a commencé à violer les réseaux d’entreprise pour déployer une variante du ransomware CryptoMix et voler des données.
Depuis 2020, le gang d’extorsion est passé principalement des ransomwares à l’exploitation des vulnérabilités zero-day dans les plates-formes sécurisées de transfert de fichiers ou de stockage de données pour voler des données.
Certaines de leurs attaques utilisant des failles zero-day incluent:
- 2020: Exploitation d’un jour zéro dans la plateforme FTA Accellion, affectant près de 100 organisations.
- 2021: Exploitation d’un jour zéro dans le logiciel FTP SolarWinds Serv-U.
- 2023: Exploitation d’un jour zéro dans la plate-forme MFT GoAnywhere, violation de plus de 100 entreprises.
- 2023: Exploiter un zero-day dans MOVEit Transfer a été la campagne la plus étendue de Clop à ce jour, où un exploit zero-day a permis le vol de données de 2 773 organisations dans le monde entier.
- 2024: Exploitation de deux jours zéro de transfert de fichiers Cleo (CVE-2024-50623 et CVE-2024-55956) pour voler des données et extorquer des entreprises.
Le département d’État américain offre actuellement une récompense de 10 millions de dollars pour les informations reliant les activités de ransomware de Clop à un gouvernement étranger.