O notório grupo de ransomware Qilin reivindicou a responsabilidade por uma violação que afeta a Igreja da Cientologia. O grupo afirmou que havia obtido documentos internos e divulgado arquivos de amostra em seu site. A organização não confirmou a violação. Neste momento, a alegação permanece não verificada e não há evidências independentes de que os dados postados pelos atacantes sejam autênticos.
O grupo de ransomware Qilin afirma que acessou sistemas internos pertencentes à Igreja da Cientologia e liberou um conjunto de arquivos de exemplo. O grupo publicou 22 documentos que, segundo ele, foram retirados de uma filial sediada no Reino Unido. O material inclui registros financeiros internos, formulários administrativos, documentação relacionada aos membros e documentação de visto para trabalhadores religiosos. A Igreja da Cientologia não confirmou a violação, e a autenticidade dos arquivos vazados não foi verificada por investigadores independentes.
Segundo o grupo, os itens vazados foram levados durante uma recente invasão envolvendo sistemas que armazenam informações administrativas e operacionais. Os documentos apresentados como evidência incluem solicitações de financiamento para vistos de trabalhadores religiosos, folhas orçamentárias, registros de faturamento, listas de despesas relacionadas a eventos e gráficos organizacionais internos. Alguns dos itens parecem envolver processamento de associação ou pedidos de upgrade. Analistas que analisaram as amostras publicadas disseram que os documentos se assemelham a documentos administrativos internos, mas observaram que a confirmação requer análise forense. Neste estágio, não há indicação oficial de que os conjuntos de dados são precisos, completos ou atualizados.
Pesquisadores disseram que Qilin frequentemente assume a responsabilidade por incidentes de grande repercussão e frequentemente usa amostras de dados iniciais para pressionar as vítimas. Eles acrescentaram que o grupo regularmente mira organizações que gerenciam grandes volumes de dados pessoais ou financeiros. O ataque alegado à Igreja da Cientologia se enquadraria nesse padrão, mas ainda não foi sustentado por descobertas técnicas além das próprias declarações do grupo.
A Qilin opera um modelo de ransomware como serviço. Suas afiliadas realizam ataques e compartilham os lucros do resgate com os operadores. O grupo surgiu pela primeira vez em 2022 e expandiu suas operações em várias regiões. Relatórios de segurança de 2024 e 2025 mostram atividade afetando prestadores de serviços de saúde, empresas manufatureiras, instituições educacionais e serviços governamentais. O grupo é conhecido por depender de extorsão dupla. Isso envolve roubo de dados combinado com esforços para tornar os sistemas inacessíveis. As vítimas são então informadas de que dados roubados serão publicados caso as exigências não sejam atendidas.
Investigadores disseram que afiliados da Qilin frequentemente iniciam ataques por meio de credenciais comprometidas, vulnerabilidades em sistemas de acesso remoto ou fraquezas em ferramentas de terceiros. Uma vez dentro da rede, os atacantes coletam informações, tentam se mover lateralmente e extraem dados. Eles podem desativar controles de proteção ou backups antes de ativar a criptografia de arquivos. A disseminação desse método aumentou o número de organizações em risco, incluindo grupos sem fins lucrativos e instituições religiosas que mantêm registros internos detalhados.
Se a alegação de Qilin sobre a Igreja da Cientologia for correta, as informações vazadas podem incluir identificadores pessoais, detalhes financeiros e registros organizacionais sensíveis. A exposição de documentos de visto e dados de filiação pode colocar indivíduos em risco de roubo de identidade ou fraude direcionada. Documentos financeiros ou organizacionais internos podem revelar procedimentos confidenciais que não são destinados à divulgação pública. Analistas disseram que vazamentos de grupos religiosos ou sem fins lucrativos frequentemente criam sensibilidades adicionais porque podem envolver informações relacionadas a membros privados que geralmente são protegidas por regras de privacidade ou organizacionais.
Profissionais de cibersegurança afirmaram que organizações que gerenciam dados internos sensíveis exigem controles de acesso rigorosos, auditorias regulares e forte segmentação entre sistemas administrativos e operacionais. Eles observaram que grupos como o Qilin frequentemente exploram áreas onde sistemas legados se cruzam com ferramentas modernas de comunicação ou manuseio de documentos. Sem uma revisão regular, esses sistemas podem se tornar vulneráveis a roubo ou invasão de credenciais.
A Igreja da Cientologia não emitiu uma declaração pública sobre a alegada violação. Pedidos de comentário foram reportados, mas nenhuma resposta havia sido compartilhada no momento da reportagem. A falta de confirmação significa que o escopo e a precisão do vazamento permanecem incertos. Analistas disseram que uma interpretação cautelosa é necessária até que uma investigação formal ou avaliação de terceiros confirme se ocorreu acesso não autorizado. Em incidentes anteriores envolvendo outras organizações, arquivos de exemplo divulgados por grupos de ameaça variaram de precisos a enganosos ou incompletos.
Indivíduos que acreditam ter sido afetados devem monitorar mensagens suspeitas ou tentativas de obter informações pessoais. Os consultores de segurança recomendam atualizar as senhas das contas relevantes, habilitar a autenticação em dois fatores sempre que possível e permanecer alerta a comunicações inesperadas que referenciam registros internos.
Para lidar com intrusões em grande escala desse tipo, especialistas recomendam revisar a arquitetura da rede, implementar procedimentos mais rigorosos de gestão de credenciais e exercer uma supervisão cuidadosa dos sistemas de acesso remoto. A revisão regular do registro e monitoramento pode melhorar a detecção de tentativas de intrusão em estágio inicial. Organizações que lidam com informações pessoais também podem ser obrigadas a notificar reguladores caso violações sejam confirmadas.
O ataque alegado reflete a ampliação dos alvos selecionados por grupos de ransomware. Embora as entidades comerciais continuem sendo as vítimas mais frequentes, organizações religiosas e sem fins lucrativos armazenam cada vez mais grandes conjuntos de dados que podem ser valiosos para os atacantes. Até que haja verificação independente disponível, o incidente permanece uma alegação não confirmada baseada em material publicado pelo grupo.