El grupo de ransomware Qilin ha reivindicado la responsabilidad de un presunto ciberataque contra Sysco, una de las mayores empresas de distribución de alimentos del mundo, amenazando con filtrar datos robados si la empresa no negocia.
El grupo cibercriminal añadió Sysco a su sitio de extorsión en la dark web esta semana y publicó varios archivos que, según afirma, fueron tomados de los sistemas internos de la compañía. Las muestras filtradas parecen incluir facturas, formularios fiscales para proveedores y documentos de precios para clientes.
Junto a los archivos filtrados, Qilin publicó un temporizador de cuenta atrás advirtiendo de que se podrían hacer públicos datos adicionales si no se cumplen las demandas. Esta táctica es comúnmente utilizada por grupos de ransomware para presionar a las víctimas a que respondan antes de que se exponga información sensible en línea.
En el momento de la información, Sysco no había confirmado públicamente un incidente de ransomware ni verificado la autenticidad de los datos filtrados. La empresa tampoco ha revelado si sus sistemas sufrieron interrupciones operativas o si la información de los clientes se vio afectada.
Sysco es un proveedor importante de restaurantes, escuelas, hospitales, hoteles y otras instituciones, lo que convierte a la empresa en un actor relevante en las redes globales de distribución de alimentos. Debido a su posición en la cadena de suministro, cualquier incidente cibernético que involucre a Sysco podría generar preocupaciones sobre el impacto operativo posterior, especialmente si los sistemas internos de pedidos o logística se ven interrumpidos.
Los archivos de muestra filtrados publicados por Qilin parecen centrarse principalmente en registros empresariales más que en datos personales de consumidores. Sin embargo, los investigadores advierten que incluso una exposición limitada de acuerdos con proveedores, estructuras de precios, facturas y documentación interna puede crear riesgos financieros y de seguridad para las organizaciones afectadas.
Qilin se ha convertido en una de las operaciones de ransomware más activas durante el último año, dirigiéndose a organizaciones de los sectores sanitario, manufacturero, transporte y empresarial. El grupo suele combinar el robo de datos con la extorsión, amenazando con publicar públicamente información robada incluso si las víctimas restauran sistemas cifrados de forma independiente.
Las operaciones modernas de ransomware priorizan cada vez más la exfiltración de datos por encima de la interrupción única. En muchos casos, los atacantes roban grandes volúmenes de documentos internos antes de desplegar ransomware, lo que les permite presionar a las empresas mediante daños reputacionales y riesgos regulatorios en lugar de solo mediante cifrado.