Il famigerato gruppo ransomware Qilin si è rivendicato la responsabilità di una violazione che ha colpito la Chiesa di Scientology. Il gruppo ha dichiarato di aver ottenuto documenti interni e pubblicato file di esempio sul proprio sito web. L’organizzazione non ha confermato la violazione. A questo punto, l’affermazione rimane non verificata e non ci sono prove indipendenti che i dati pubblicati dagli aggressori siano autentici.
Il gruppo ransomware Qilin sostiene di aver avuto accesso a sistemi interni appartenenti alla Chiesa di Scientology e di aver rilasciato una serie di file di esempio. Il gruppo ha pubblicato 22 documenti che, a dirlo, erano stati presi da una filiale con sede nel Regno Unito. Il materiale include registri finanziari interni, moduli amministrativi, documentazione relativa ai membri e documentazione per i visti per lavoratori religiosi. La Chiesa di Scientology non ha confermato la violazione e l’autenticità dei file trapelati non è stata verificata da investigatori indipendenti.
Secondo il gruppo, gli elementi trapelati sono stati presi durante una recente intrusione che ha coinvolto sistemi che conservano informazioni amministrative e operative. I documenti presentati come prova includono richieste di finanziamento per visti da lavoratori religiosi, fogli di bilancio, record di fatturazione, liste di spese legate a eventi e organi interni. Alcuni degli articoli sembrano richiedere l’elaborazione dell’iscrizione o richieste di upgrade. Gli analisti che hanno esaminato i campioni pubblicati hanno detto che i documenti assomigliano a documenti amministrativi interni, ma hanno osservato che la conferma richiede un’analisi forense. A questo punto, non vi è alcuna indicazione ufficiale che i set di dati siano accurati, completi o aggiornati.
I ricercatori hanno affermato che Qilin si assume spesso la responsabilità di incidenti di grande rilievo e utilizza spesso i campioni di dati iniziali per mettere pressione sulle vittime. Hanno aggiunto che il gruppo prende regolarmente di mira organizzazioni che gestiscono grandi volumi di dati personali o finanziari. L’attacco dichiarato alla Chiesa di Scientology rientrerebbe in questo schema, ma non è ancora stato supportato da risultati tecnici al di fuori delle dichiarazioni del gruppo.
Qilin gestisce un modello ransomware come servizio. Le sue affiliate conducono attacchi e condividono i proventi del riscatto con gli operatori. Il gruppo è apparso per la prima volta nel 2022 e ha ampliato le operazioni in diverse regioni. I rapporti sulla sicurezza del 2024 e 2025 mostrano attività che coinvolgono fornitori di servizi sanitari, aziende manifatturiere, istituzioni educative e servizi governativi. Il gruppo è noto per fare affidamento sulla doppia estorsione. Questo comporta il furto di dati combinato con sforzi per rendere i sistemi inaccessibili. Alle vittime viene poi detto che i dati rubati saranno pubblicati se le richieste non saranno soddisfatte.
Gli investigatori hanno affermato che gli affiliati Qilin spesso iniziano attacchi tramite credenziali compromesse, vulnerabilità nei sistemi di accesso remoto o debolezze negli strumenti di terze parti. Una volta all’interno di una rete, gli attaccanti raccolgono informazioni, tentano di muoversi lateralmente ed estraggono dati. Possono disabilitare controlli protettivi o backup prima di attivare la crittografia dei file. La diffusione di questo metodo ha aumentato il numero di organizzazioni a rischio, inclusi gruppi non profit e istituzioni religiose che mantengono registri interni dettagliati.
Se l’affermazione di Qilin riguardo alla Chiesa di Scientology è accurata, le informazioni trapelate potrebbero includere identificatori personali, dettagli finanziari e registri organizzativi sensibili. L’esposizione della documentazione dei visti e dei dati di appartenenza potrebbe mettere gli individui a rischio di furto d’identità o frode mirata. I documenti finanziari o organizzativi interni possono rivelare procedure riservate che non sono destinate alla pubblicazione. Gli analisti hanno affermato che le fughe di notizie da parte di gruppi religiosi o non profit spesso creano ulteriori sensibilità perché possono riguardare informazioni relative a membri privati che di solito sono protette da regole sulla privacy o organizzative.
I professionisti della cybersecurity hanno affermato che le organizzazioni che gestiscono dati interni sensibili richiedono rigorosi controlli di accesso, audit regolari e una forte segmentazione tra sistemi amministrativi e operativi. Hanno osservato che gruppi come Qilin spesso sfruttano aree in cui i sistemi legacy si intersecano con strumenti moderni di comunicazione o gestione documentale. Senza una revisione regolare, questi sistemi possono diventare vulnerabili a furti o intrusioni di credenziali.
La Chiesa di Scientology non ha rilasciato una dichiarazione pubblica riguardo alla presunta violazione. Sono state segnalate richieste di commento, ma al momento della segnalazione non era stata data alcuna risposta. La mancanza di conferme significa che l’entità e l’accuratezza della fuga di notizie restano poco chiare. Gli analisti hanno affermato che è necessaria un’interpretazione cauta finché un’indagine formale o una valutazione da parte di terzi non confermi se si sia verificato un accesso non autorizzato. In incidenti passati che coinvolgevano altre organizzazioni, i file di esempio rilasciati dai gruppi di minaccia variavano da accurati a fuorvianti o incompleti.
Le persone che ritengono di essere state colpite dovrebbero monitorare la presenza di messaggi sospetti o tentativi di ottenere informazioni personali. I consulenti per la sicurezza raccomandano di aggiornare le password degli account rilevanti, abilitare l’autenticazione a due fattori quando possibile e rimanere vigili per comunicazioni impreviste che riguardano i record interni.
Per affrontare intrusioni su larga scala di questo tipo, gli esperti raccomandano di rivedere l’architettura di rete, implementare procedure di gestione delle credenziali più rigorose ed esercitare un’attenta supervisione dei sistemi di accesso remoto. Una revisione regolare della registrazione e del monitoraggio può migliorare la rilevazione dei tentativi di intrusione nelle prime fasi iniziali. Le organizzazioni che gestiscono informazioni personali potrebbero anche essere tenute a notificare i regolatori se vengono confermate violazioni.
L’attacco dichiarato riflette l’ampliamento dei bersagli selezionati dai gruppi ransomware. Sebbene le entità commerciali rimangono le vittime più frequenti, le organizzazioni religiose e non profit conservano sempre più grandi set di dati che possono essere preziosi per gli aggressori. Fino a quando non sarà disponibile una verifica indipendente, l’incidente rimane un’affermazione non confermata basata su materiale pubblicato dal gruppo.