Un grupo de ransomware conocido como Qilin ha reivindicado la responsabilidad de violar una cooperativa eléctrica estadounidense, lo que ha generado preocupación por los posibles riesgos cibernéticos que enfrentan los operadores de infraestructuras eléctricas. El grupo incluyó a la Tennessee Valley Electric Cooperative (TVEC) como víctima en su sitio de filtraciones en la dark web, una plataforma utilizada por bandas de ransomware para presionar a organizaciones durante campañas de extorsión.
TVEC tiene su sede en Savannah, Tennessee, y suministra electricidad a clientes de los condados de Wayne y Hardin, en el oeste de Tennessee, a través de aproximadamente 2.000 millas de líneas de distribución eléctrica. La cooperativa también es miembro de la red pública de energía de la Autoridad del Valle de Tennessee, una empresa de servicios públicos de propiedad federal que suministra electricidad en toda la región del Valle de Tennessee.
El grupo de ransomware no ha publicado muestras de datos robados vinculados a la supuesta brecha. Listar una empresa en un sitio de filtraciones sin revelar pruebas es una táctica que suelen emplear los operadores de ransomware para iniciar negociaciones con las víctimas. En muchos casos, los atacantes publican después pequeñas muestras de datos si la organización no responde a las demandas de rescate.
En el momento del informe, seguía sin estar claro si se habían exfiltrado datos o si los sistemas operativos de la cooperativa se habían visto afectados. La empresa no había confirmado públicamente el incidente cibernético, y no se habían revelado detalles sobre el alcance de la supuesta intrusión.
Investigadores de seguridad señalaron que los grupos de ransomware suelen atacar organizaciones conectadas a infraestructuras críticas debido a la posible presión que estos incidentes pueden ejercer sobre las víctimas. Si los atacantes obtienen documentos internos o información operativa, la exposición de dicho material podría revelar cómo funcionan los sistemas internos o proporcionar detalles útiles para futuros ciberataques.
Qilin es un grupo de ransomware que apareció por primera vez en 2022 y desde entonces ha llevado a cabo ataques contra organizaciones en múltiples sectores. El grupo gestiona un sitio de filtraciones de datos en la dark web donde publica los nombres de empresas que afirma haber vulnerado. Según la monitorización de investigadores de ciberseguridad, la banda ha registrado más de 1.400 víctimas desde 2023.
En los últimos meses, Qilin ha sido vinculado a ataques contra organizaciones de los sectores de aviación, finanzas, manufactura y energía. El grupo se atribuyó previamente la responsabilidad de incidentes que involucraron empresas como Malaysia Airlines y varias compañías eléctricas en Norteamérica.
Los ataques de ransomware contra infraestructuras energéticas han atraído cada vez más la atención de investigadores de seguridad y agencias gubernamentales debido al posible impacto en los servicios esenciales. Las cooperativas eléctricas y las compañías eléctricas regionales suelen operar grandes redes de distribución que suministran energía a miles de hogares y empresas.
Por ahora, la supuesta violación relacionada con TVEC sigue sin verificarse. Investigadores y expertos en seguridad continúan monitorizando el sitio de filtración y las comunicaciones del grupo de ransomware para obtener información adicional sobre la afirmación y cualquier posible divulgación de datos.