De ransomwaregroep Qilin heeft de verantwoordelijkheid opgeëist voor een vermeende cyberaanval op Sysco, een van ‘s werelds grootste voedseldistributiebedrijven, en dreigt gestolen gegevens te lekken als het bedrijf niet onderhandelt.
De cybercriminele groep voegde Sysco deze week toe aan haar dark web-afpersingssite en publiceerde verschillende bestanden waarvan men zegt dat ze afkomstig zijn uit de interne systemen van het bedrijf. De gelekte voorbeelden lijken facturen, leveranciersbelastingformulieren en klantprijsdocumenten te bevatten.
Naast de gelekte bestanden plaatste Qilin een afteltimer waarin werd gewaarschuwd dat aanvullende gegevens openbaar kunnen worden gemaakt als aan de eisen niet wordt voldaan. De tactiek wordt vaak gebruikt door ransomwaregroepen om slachtoffers onder druk te zetten om te reageren voordat gevoelige informatie online wordt blootgesteld.
Ten tijde van het rapporteren had Sysco een ransomware-incident niet publiekelijk bevestigd of de authenticiteit van de gelekte gegevens geverifieerd. Het bedrijf heeft ook niet bekendgemaakt of zijn systemen operationele verstoringen hebben ervaren of dat klantinformatie is getroffen.
Sysco is een belangrijke leverancier aan restaurants, scholen, ziekenhuizen, hotels en andere instellingen, waardoor het bedrijf een belangrijke speler is in wereldwijde distributienetwerken voor voedsel. Vanwege zijn positie in de toeleveringsketen kan elk cyberincident waarbij Sysco betrokken is zorgen oproepen over de operationele impact van de downstream, vooral als interne order- of logistieke systemen worden verstoord.
De gelekte voorbeeldbestanden die door Qilin zijn gepubliceerd, lijken zich vooral te richten op bedrijfsgegevens in plaats van persoonlijke consumentengegevens. Onderzoekers waarschuwen echter dat zelfs beperkte blootstelling aan leveranciersovereenkomsten, prijsstructuren, facturen en interne documentatie financiële en beveiligingsrisico’s kan opleveren voor getroffen organisaties.
Qilin is het afgelopen jaar uitgegroeid tot een van de actievere ransomware-operaties, gericht op organisaties in de gezondheidszorg, productie, transport en ondernemingen. De groep combineert doorgaans datadiefstal met afpersing en dreigt gestolen informatie openbaar te maken, zelfs als slachtoffers zelfstandig versleutelde systemen herstellen.
Moderne ransomware-operaties geven steeds meer prioriteit aan data-exfiltratie boven alleen verstoring. In veel gevallen stelen aanvallers grote hoeveelheden interne documenten voordat ze ransomware inzetten, waardoor ze bedrijven onder druk zetten door reputatieschade en regelgevingsrisico’s in plaats van alleen door encryptie.