Envoy Air เป็นสายการบินระดับภูมิภาคในเครือของ American Airlines ยืนยันว่าข้อมูลจากแอปพลิเคชัน Oracle E-Business Suite ของบริษัทถูกโจมตี หลังจากที่กลุ่มเรียกค่าไถ่ Clop ได้ระบุชื่อ American Airlines ไว้ในเว็บไซต์ที่เผยแพร่ข้อมูลรั่วไหลของตน
Envoy Air ได้ให้ข้อมูลกับ BleepingComputer โดยระบุว่า "เรารับทราบถึงเหตุการณ์ที่เกี่ยวข้องกับแอปพลิเคชัน Oracle E-Business Suite ของ Envoy"
"เมื่อทราบเรื่อง เราได้เริ่มการสอบสวนทันที และได้ติดต่อหน่วยงานบังคับใช้กฎหมาย เราได้ตรวจสอบข้อมูลที่เกี่ยวข้องอย่างละเอียด และยืนยันแล้วว่าไม่มีข้อมูลสำคัญ หรือข้อมูลของลูกค้าได้รับผลกระทบ มีข้อมูลทางธุรกิจ และรายละเอียดการติดต่อเชิงพาณิชย์จำนวนจำกัดที่อาจถูกโจมตี"
Envoy Air เป็นบริษัทลูกของ American Airlines และให้บริการเที่ยวบินระดับภูมิภาคภายใต้แบรนด์ American Eagle แม้ว่าจะดำเนินงานในฐานะบริษัทที่แยกต่างหาก แต่ก็ถูกรวมเข้ากับเครือข่ายของ American Airlines ในด้านการจำหน่ายตั๋ว, การจัดตารางเวลา และการบริการผู้โดยสาร
กลุ่ม Clop ransomware กำลังเผยแพร่ข้อมูลที่พวกเขาอ้างว่าเป็นข้อมูลที่ขโมยมาจาก Envoy บนเว็บไซต์เผยแพร่ข้อมูลรั่วไหลของตน โดยระบุว่า "บริษัทไม่สนใจลูกค้าของตนเลย พวกเขาเพิกเฉยต่อความปลอดภัย"
เหตุการณ์ด้านความปลอดภัยครั้งใหม่นี้ เกี่ยวข้องกับแคมเปญขโมยข้อมูลในเดือนสิงหาคมที่ดำเนินการโดยกลุ่ม Clop ซึ่งเริ่มส่งอีเมลเรียกค่าไถ่ไปยังบริษัทต่าง ๆ ในเดือนกันยายน โดยอ้างว่าได้ขโมยข้อมูลจากระบบ Oracle E-Business Suite
แม้ว่าในตอนแรก Oracle จะระบุว่า ผู้ไม่หวังดีกำลังใช้การโจมตีจากช่องโหว่ที่ได้รับการแก้ไขไปในเดือนกรกฎาคม แต่ต่อมาบริษัทก็ได้เปิดเผยว่ากลุ่มเรียกค่าไถ่ได้ใช้การโจมตีจากช่องโหว่ zero-day ที่มีหมายเลข CVE-2025-61882 ในการโจมตี
ภายหลัง CrowdStrike และ Mandiant เปิดเผยว่า Clop ได้ใช้การโจมตีจากช่องโหว่ดังกล่าวในช่วงต้นเดือนสิงหาคมเพื่อเจาะระบบ และติดตั้งมัลแวร์
แม้ว่า Clop จะไม่เปิดเผยจำนวนบริษัทที่ได้รับผลกระทบจากการโจมตีเพื่อขโมยข้อมูลครั้งนี้ แต่ John Hultquist จาก Google ได้ให้ข้อมูลกับ BleepingComputer ผ่านทางอีเมลว่า พวกเขาเชื่อว่ามีองค์กรมากกว่า 10 แห่งที่ได้รับผลกระทบ
กลุ่ม Clop ยังได้ทำการเรียกค่าไถ่ข้อมูลจากมหาวิทยาลัย Harvard โดยเป็นส่วนหนึ่งของแคมเปญขโมยข้อมูลเดียวกันนี้ ซึ่งทางมหาวิทยาลัยได้ยืนยันกับ BleepingComputer ว่า เหตุการณ์ดังกล่าวส่งผลกระทบต่อกลุ่มบุคคลจำนวนจำกัดที่เกี่ยวข้องกับหน่วยงานธุรการขนาดเล็ก
เมื่อสัปดาห์ที่แล้ว Oracle ได้ออกแพตช์แก้ไขช่องโหว่ zero-day อีกรายการหนึ่งของ E-Business Suite อย่างเงียบ ๆ ซึ่งมีหมายเลข CVE-2025-61884 โดยไม่ได้เปิดเผยว่าช่องโหว่ดังกล่าวถูกใช้ในการโจมตีจริงในเดือนกรกฎาคม 2025
ช่องโหว่ zero-day ดังกล่าวเชื่อมโยงกับการโจมตีที่กลุ่มเรียกค่าไถ่ Shiny Lapsus$ Hunters ได้เผยแพร่บน Telegram
ก่อนหน้านี้ American Airlines เคยถูกโจมตีจนข้อมูลรั่วไหลมาแล้วในปี 2022 และ 2023 ซึ่งทำให้ข้อมูลส่วนบุคคลของพนักงานถูกเปิดเผย
Clop คือใคร?
Clop ransomware เป็นที่รู้จักกันในชื่อ TA505, Cl0p และ FIN11 ถูกพบครั้งแรกในปี 2019 เมื่อพวกเขาเริ่มโจมตีเครือข่ายองค์กรเพื่อติดตั้ง CryptoMix ransomware และขโมยข้อมูล
ตั้งแต่ปี 2020 กลุ่มนี้ได้เปลี่ยนกลยุทธ์หลักจากการใช้ ransomware มาเป็นการใช้การโจมตีจากช่องโหว่ zero-day ในแพลตฟอร์มการถ่ายโอนไฟล์ข้อมูล หรือการจัดเก็บข้อมูลที่ปลอดภัยเพื่อขโมยข้อมูล
การโจมตีบางส่วนของพวกเขาที่ใช้ช่องโหว่ zero-day ได้แก่:
- 2020: การโจมตีจากช่องโหว่ zero-day ในแพลตฟอร์ม Accellion FTA ส่งผลกระทบต่อองค์กรกว่า 100 แห่ง
- 2021: การโจมตีจากช่องโหว่ zero-day ในซอฟต์แวร์ SolarWinds Serv-U FTP
- 2023: การโจมตีจากช่องโหว่ zero-day ในแพลตฟอร์ม GoAnywhere MFT ได้โจมตีระบบของบริษัทมากกว่า 100 แห่ง
- 2023: การโจมตีจากช่องโหว่ zero-day ใน MOVEit Transfer ซึ่งเป็นแคมเปญที่ใหญ่ที่สุดของ Clop จนถึงปัจจุบัน โดยการใช้การโจมตีจากช่องโหว่ zero-day นี้ทำให้สามารถขโมยข้อมูลจากองค์กรกว่า 2,773 แห่งทั่วโลก
- 2024: การโจมตีจากช่องโหว่ zero-day 2 รายการของ Cleo file transfer (CVE-2024-50623 และ CVE-2024-55956) เพื่อขโมยข้อมูล และเรียกค่าไถ่บริษัทต่าง ๆ
ปัจจุบัน กระทรวงการต่างประเทศของสหรัฐฯ ได้เสนอเงินรางวัลจำนวน 10 ล้านดอลลาร์สำหรับผู้ที่มีข้อมูลการเชื่อมโยงกิจกรรม ransomware ของ Clop ที่เกี่ยวข้องกับรัฐบาลประเทศอื่น
ที่มา : bleepingcomputer
You must be logged in to post a comment.