Un groupe de ransomware appelé Qilin a revendiqué la responsabilité d’une intrusion dans une coopérative électrique américaine, soulevant des inquiétudes quant aux risques cybernétiques potentiels auxquels sont confrontés les opérateurs d’infrastructures électriques. Le groupe a listé la Tennessee Valley Electric Cooperative (TVEC) comme victime sur son site de fuites sur le dark web, une plateforme utilisée par les gangs de ransomware pour faire pression sur les organisations lors de campagnes d’extorsion.
TVEC est basée à Savannah, Tennessee, et fournit de l’électricité aux clients des comtés de Wayne et Hardin, dans l’ouest du Tennessee, via environ 2 000 miles de lignes de distribution électrique. La coopérative est également membre du réseau public d’électricité de la Tennessee Valley Authority, une compagnie publique fédérale qui fournit de l’électricité dans toute la région de la vallée du Tennessee.
Le groupe de ransomware n’a publié aucun échantillon de données volées liées à la présumée violation. Inscrire une entreprise sur un site de fuite sans divulguer de preuves est une tactique souvent utilisée par les opérateurs de ransomware pour entamer des négociations avec les victimes. Dans de nombreux cas, les attaquants publient ensuite de petits échantillons de données si l’organisation ne répond pas aux demandes de rançon.
Au moment du rapport, il restait incertain si des données avaient été exfiltrées ou si les systèmes opérationnels de la coopérative avaient été affectés. L’entreprise n’avait pas confirmé publiquement l’incident cybernétique, et les détails sur l’ampleur de l’intrusion présumée n’avaient pas été divulgués.
Les chercheurs en sécurité ont noté que les groupes de ransomware ciblent fréquemment les organisations liées aux infrastructures critiques en raison de la pression potentielle que de tels incidents peuvent exercer sur les victimes. Si les attaquants obtiennent des documents internes ou des informations opérationnelles, la révélation de ces documents pourrait révéler le fonctionnement des systèmes internes ou fournir des détails utiles pour de futures cyberattaques.
Qilin est un groupe de ransomware apparu pour la première fois en 2022 et qui a depuis mené des attaques contre des organisations dans plusieurs secteurs. Le groupe gère un site de fuite de données sur le dark web où il publie les noms des entreprises qu’il affirme avoir violées. Selon la surveillance menée par des chercheurs en cybersécurité, le gang a recensé plus de 1 400 victimes depuis 2023.
Ces derniers mois, Qilin a été associé à des attaques contre des organisations dans les secteurs de l’aviation, de la finance, de la fabrication et de l’énergie. Le groupe a précédemment revendiqué la responsabilité d’incidents impliquant des entreprises telles que Malaysia Airlines et plusieurs compagnies d’électricité en Amérique du Nord.
Les attaques par ransomware contre les infrastructures énergétiques ont attiré une attention croissante de la part des chercheurs en sécurité et des agences gouvernementales en raison de leur impact potentiel sur les services essentiels. Les coopératives d’électricité et les services publics régionaux exploitent souvent de grands réseaux de distribution qui fournissent de l’électricité à des milliers de foyers et d’entreprises.
Pour l’instant, la violation alléguée impliquant TVEC reste non vérifiée. Les enquêteurs et les chercheurs en sécurité continuent de surveiller le site de fuite du groupe de ransomware et leurs communications pour obtenir des informations supplémentaires sur la revendication et toute éventuelle diffusion de données.