Een ransomwaregroep genaamd Qilin heeft de verantwoordelijkheid opgeëist voor het inbreken van een Amerikaanse elektriciteitscoöperatie, wat zorgen oproept over mogelijke cyberrisico’s voor energie-infrastructuuroperators. De groep vermeldde de Tennessee Valley Electric Cooperative (TVEC) als slachtoffer op haar dark web-leksite, een platform dat door ransomwarebendes wordt gebruikt om organisaties onder druk te zetten tijdens afpersingscampagnes.
TVEC is gevestigd in Savannah, Tennessee, en levert elektriciteit aan klanten in Wayne en Hardin counties in West-Tennessee via ongeveer 2.000 mijl aan stroomdistributielijnen. De coöperatie is ook lid van het openbare elektriciteitsnet van de Tennessee Valley Authority, een federaal nutsbedrijf dat elektriciteit levert in de hele Tennessee Valley-regio.
De ransomwaregroep heeft geen voorbeelden gepubliceerd van gestolen gegevens die in verband zijn gebracht met de vermeende datalek. Een bedrijf op een leksite plaatsen zonder bewijs vrij te geven is een tactiek die ransomware-operators vaak gebruiken om onderhandelingen met slachtoffers te beginnen. In veel gevallen publiceren aanvallers later kleine datamonsters als de organisatie niet reageert op losgeldeisen.
Ten tijde van het rapport was het onduidelijk of er gegevens waren geëxfiltreerd of dat de operationele systemen van de coöperatie waren getroffen. Het bedrijf had het cyberincident niet publiekelijk bevestigd en details over de omvang van de vermeende inbraak waren niet bekendgemaakt.
Beveiligingsonderzoekers merkten op dat ransomwaregroepen vaak organisaties aanpakken die verbonden zijn met kritieke infrastructuur vanwege de potentiële druk die dergelijke incidenten op slachtoffers kunnen uitoefenen. Als aanvallers interne documenten of operationele informatie verkrijgen, kan de blootstelling van dergelijk materiaal onthullen hoe interne systemen functioneren of details verschaffen die nuttig zijn voor toekomstige cyberaanvallen.
Qilin is een ransomwaregroep die voor het eerst verscheen in 2022 en sindsdien aanvallen heeft uitgevoerd op organisaties in meerdere sectoren. De groep beheert een dataleksite op het dark web waar ze de namen publiceert van bedrijven die ze beweert te hebben gehackt. Volgens monitoring door cybersecurityonderzoekers heeft de bende sinds 2023 meer dan 1.400 slachtoffers vermeld.
In de afgelopen maanden is Qilin in verband gebracht met aanvallen op organisaties in de luchtvaart, financiën, productie en energiegerelateerde sectoren. De groep heeft eerder de verantwoordelijkheid opgeëist voor incidenten met bedrijven als Malaysia Airlines en verschillende elektriciteitsbedrijven in Noord-Amerika.
Ransomware-aanvallen op energie-infrastructuur hebben steeds meer aandacht getrokken van beveiligingsonderzoekers en overheidsinstanties vanwege de mogelijke impact op essentiële diensten. Elektriciteitscoöperaties en regionale nutsbedrijven exploiteren vaak grote distributienetwerken die stroom leveren aan duizenden huishoudens en bedrijven.
Voorlopig blijft de vermeende inbreuk met TVEC niet geverifieerd. Onderzoekers en beveiligingsonderzoekers blijven de leksite en communicatie van de ransomwaregroep volgen voor aanvullende informatie over de claim en eventuele vrijgave van gegevens.