Le groupe de ransomware Qilin a revendiqué la responsabilité d’une cyberattaque présumée contre Sysco, l’une des plus grandes sociétés de distribution alimentaire au monde, menaçant de divulguer des données volées si l’entreprise ne s’engage pas dans les négociations.
Le groupe cybercriminel a ajouté Sysco à son site d’extorsion sur le dark web cette semaine et a publié plusieurs fichiers qu’il affirme avoir été pris dans les systèmes internes de l’entreprise. Les exemples divulgués semblent inclure des factures, des formulaires d’impôt fournisseurs et des documents tarifaires clients.
En plus des fichiers divulgués, Qilin a affiché un compte à rebours avertissant que des données supplémentaires pourraient être rendues publiques si les demandes ne sont pas satisfaites. Cette tactique est couramment utilisée par les groupes de ransomware pour faire pression sur les victimes afin qu’elles ne réagissent avant que des informations sensibles ne soient exposées en ligne.
Au moment du rapport, Sysco n’avait pas confirmé publiquement un incident de ransomware ni vérifié l’authenticité des données divulguées. L’entreprise n’a pas non plus divulgué si ses systèmes ont subi des perturbations opérationnelles ou si les informations clients ont été affectées.
Sysco est un fournisseur majeur de restaurants, écoles, hôpitaux, hôtels et autres institutions, faisant de l’entreprise un acteur majeur dans les réseaux mondiaux de distribution alimentaire. En raison de sa position dans la chaîne d’approvisionnement, tout incident cybernétique impliquant Sysco pourrait susciter des inquiétudes quant à l’impact opérationnel en amont, en particulier si les systèmes internes de commande ou de logistique sont perturbés.
Les fichiers d’échantillons divulgués publiés par Qilin semblent principalement se concentrer sur des dossiers commerciaux plutôt que sur des données personnelles des consommateurs. Cependant, les chercheurs avertissent que même une exposition limitée des accords avec les fournisseurs, des structures tarifaires, des factures et des documents internes peut créer des risques financiers et de sécurité pour les organisations concernées.
Qilin est devenu l’une des opérations de ransomware les plus actives au cours de l’année écoulée, ciblant des organisations dans les secteurs de la santé, de la fabrication, du transport et des entreprises. Le groupe combine généralement le vol de données et l’extorsion, menaçant de rendre publiques des informations volées même si les victimes restaurent les systèmes chiffrés de manière indépendante.
Les opérations modernes de ransomware privilégient de plus en plus l’exfiltration de données plutôt que la seule perturbation. Dans de nombreux cas, les attaquants volent de grands volumes de documents internes avant de déployer un ransomware, ce qui leur permet de faire pression sur les entreprises par des dommages à la réputation et des risques réglementaires plutôt que par le simple chiffrement.