Il gruppo ransomware Qilin ha rivendicato la responsabilità di un presunto attacco informatico contro Sysco, una delle più grandi aziende mondiali di distribuzione alimentare, minacciando di far trapelare dati rubati se l’azienda non avesse avviato negoziati.
Il gruppo di criminali informatici ha aggiunto Sysco al suo sito di estorsione sul dark web questa settimana e ha pubblicato diversi file che sostiene siano stati presi dai sistemi interni dell’azienda. I campioni trapepati sembrano includere fatture, moduli fiscali per i fornitori e documenti di prezzo dei clienti.
Accanto ai file trapelati, Qilin ha pubblicato un timer di conto alla rovescia avvertendo che ulteriori dati potrebbero essere resi pubblici se le richieste non saranno soddisfatte. La tattica è comunemente usata dai gruppi ransomware per spingere le vittime a rispondere prima che informazioni sensibili vengano esposte online.
Al momento della segnalazione, Sysco non aveva confermato pubblicamente un episodio di ransomware né verificato l’autenticità dei dati trapelati. L’azienda non ha inoltre rivelato se i suoi sistemi abbiano subito interruzioni operative o se le informazioni dei clienti siano state influenzate.
Sysco è un importante fornitore di ristoranti, scuole, ospedali, hotel e altre istituzioni, rendendo l’azienda un attore significativo nelle reti globali di distribuzione alimentare. A causa della sua posizione nella catena di approvvigionamento, qualsiasi incidente informatico che coinvolga Sysco potrebbe sollevare preoccupazioni riguardo all’impatto operativo a valle, soprattutto se i sistemi interni di ordinazione o logistica vengono interrotti.
I file campione trapepati pubblicati da Qilin sembrano concentrarsi principalmente su registri aziendali piuttosto che su dati personali dei consumatori. Tuttavia, i ricercatori avvertono che anche l’esposizione limitata di accordi con i fornitori, strutture di prezzo, fatture e documentazione interna può creare rischi finanziari e di sicurezza per le organizzazioni interessate.
Qilin è diventato una delle operazioni ransomware più attive nell’ultimo anno, prendendo di mira organizzazioni nei settori sanitario, manifatturiero, dei trasporti e enterprise. Il gruppo solitamente combina il furto di dati con l’estorsione, minacciando di rendere pubbliche le informazioni rubate anche se le vittime ripristinano sistemi criptati in modo indipendente.
Le operazioni moderne di ransomware danno sempre più priorità all’esfiltrazione dei dati rispetto alla sola interruzione. In molti casi, gli attaccanti rubano grandi volumi di documenti interni prima di implementare ransomware, permettendo loro di fare pressione sulle aziende attraverso danni reputazionali e rischi normativi piuttosto che solo tramite crittografia.