Un gruppo di ransomware noto come Qilin ha rivendicato la responsabilità di quella che descrive come una violazione dei dati che ha colpito Super Value Co ., un rivenditore giapponese che gestisce supermercati e centri per la casa nella prefettura di Saitama e nell’area metropolitana di Tokyo. Il gruppo ha elencato la società sul suo sito web oscuro, affermando di aver rubato molti documenti interni, tra cui file delle risorse umane, informazioni sulle buste paga e dati operativi.
Super Value Co Non ha ancora confermato se la presunta violazione sia autentica e, al momento in cui scriviamo, non è stata rilasciata alcuna dichiarazione ufficiale. Secondo quanto riferito, la società è stata contattata per un commento da ricercatori di sicurezza e media, ma non ha risposto pubblicamente. Senza verifica, le affermazioni rimangono non confermate, anche se l’incidente segue uno schema coerente con l’attività di Qilin negli ultimi mesi.
Il post del gruppo di minacce sul dark web afferma che il materiale rubato include una vasta gamma di record sensibili. Tra questi ci sono numeri di identificazione dei dipendenti, nomi completi, indirizzi di casa, date di nascita, date di assunzione, categorie di lavoro, incarichi di reparto, numeri di telefono, salari e orari di lavoro. L’elenco fa riferimento anche a dati a livello aziendale come i dettagli delle buste paga, i riepiloghi delle prestazioni, i rapporti sugli incidenti sul posto di lavoro, i dati sulle vendite e sui profitti e la documentazione di ordini e consegne. Inoltre, il gruppo afferma di aver ottenuto file relativi al trasferimento di chiavi di sicurezza, che potrebbero indicare l’accesso a strutture interne o credenziali digitali utilizzate dal personale.
Se autentiche, le informazioni esposte potrebbero avere gravi conseguenze sia per i dipendenti che per l’azienda. I dati personali contenuti nei file HR potrebbero essere utilizzati per furti di identità o attacchi di ingegneria sociale. I criminali informatici utilizzano spesso nomi, indirizzi e dettagli di contatto rubati per creare messaggi di phishing convincenti o per impersonare dipendenti legittimi quando prendono di mira i sistemi interni. Anche le informazioni che sembrano di routine, come le pianificazioni o le gerarchie dipartimentali, possono essere sfruttate dagli aggressori per identificare obiettivi di alto valore o punti deboli nelle operazioni di un’azienda.
Da un punto di vista organizzativo, la pubblicazione di dati finanziari e operativi potrebbe minare la competitività dell’azienda e danneggiarne la reputazione. I dettagli sulle prestazioni di vendita, la logistica della catena di approvvigionamento e la gestione del negozio potrebbero essere preziosi per i rivali o altri attori delle minacce che cercano di interrompere o sfruttare ulteriormente l’azienda. L’inclusione di rapporti sugli incidenti sul lavoro e di documentazione delle chiavi di sicurezza suggerisce che gli aggressori potrebbero aver cercato non solo di rubare dati, ma anche di evidenziare l’entità del loro accesso interno.
Qilin, il gruppo che rivendica la responsabilità dell’attacco, è noto per aver preso di mira aziende in diversi settori in Asia, Europa e Nord America. I ricercatori di sicurezza lo descrivono come un’operazione ransomware ben organizzata che combina attacchi di crittografia con furto di dati. Il metodo del gruppo in genere prevede la violazione di una rete, il furto di file e quindi la minaccia di rilasciare pubblicamente le informazioni rubate se la vittima si rifiuta di pagare un riscatto. In molti casi, Qilin pubblica parti dei dati come prova per spingere le organizzazioni a negoziare.
La banda è stata collegata a diversi incidenti quest’anno che hanno coinvolto aziende manifatturiere, logistiche e di vendita al dettaglio. Gli analisti ritengono che gli operatori di Qilin abbiano legami con reti di criminali informatici di lingua russa, sebbene il gruppo stesso si presenti come un sindacato motivato finanziariamente piuttosto che un’entità esplicitamente sostenuta dallo stato. Come altri moderni collettivi di ransomware, opera come una sorta di franchising aziendale, reclutando affiliati che conducono attacchi sotto il nome di Qilin in cambio di una quota dei profitti del riscatto.
Le richieste di risarcimento si Super Value Co adattano a questo modello, anche se al momento non sono stati confermati sistemi crittografati o richieste di riscatto. È possibile che l’attacco sia stato limitato al furto di dati piuttosto che a un’implementazione di ransomware su larga scala. Ciò è in linea con una tendenza crescente tra i gruppi di criminali informatici che danno sempre più priorità all’esfiltrazione di dati per la vendita o il ricatto rispetto all’interruzione diretta delle operazioni aziendali.
Se confermata, la violazione rappresenterebbe un altro duro colpo per il settore della vendita al dettaglio in Giappone, che ha dovuto affrontare un costante aumento degli incidenti informatici nell’ultimo anno. Diverse aziende giapponesi, tra cui produttori e società di logistica, sono state recentemente prese di mira da gruppi di ransomware che cercano una leva finanziaria attraverso l’esposizione dei dati. Questi attacchi hanno sottolineato la crescente importanza della sicurezza informatica all’interno delle piccole e medie imprese che gestiscono grandi volumi di dati di dipendenti e consumatori.
Sebbene le affermazioni di Qilin rimangano non verificate, gli esperti di sicurezza avvertono che anche gli elenchi non confermati sui forum del dark web possono avere un impatto immediato sulla fiducia del pubblico e sulla continuità aziendale. Le aziende citate in tali fughe di notizie spesso affrontano il controllo di partner e clienti che temono che le loro informazioni possano essere state compromesse. Per i dipendenti, l’incertezza che circonda l’autenticità della violazione può causare uno stress significativo, soprattutto quando informazioni sensibili come gli indirizzi di casa e i dettagli dello stipendio sono menzionate nei post online.
Per ora, la vera portata della presunta violazione rimane poco chiara. La società non ha segnalato alcuna interruzione operativa e non è stata resa pubblica alcuna prova indipendente che confermi le affermazioni di Qilin. Fino a quando non emergeranno ulteriori informazioni, rimane incerto se i dati rubati siano autentici o se il gruppo stia tentando di utilizzare false affermazioni per fare pressione sull’azienda affinché si metta in contatto.
L’incidente evidenzia tuttavia la persistente minaccia di ransomware ed estorsione di dati contro le aziende giapponesi, che continuano a essere obiettivi attraenti grazie alle loro forti economie, all’ampia infrastruttura digitale e alla preziosa proprietà intellettuale. Ad esempio Super Value Co , le prossime settimane potrebbero determinare se le affermazioni sono dimostrate o smentite, ma anche il suggerimento di una violazione dei dati dimostra come i criminali informatici utilizzino la paura e l’incertezza come potenti strumenti nelle loro campagne.