La pandilla de ransomware de Qilin se afirmó la responsabilidad del ataque a Lee Enterprises que interrumpió las operaciones el 3 de febrero, muestras de datos que afirman haber sido robadas de la compañía.
Los actores de amenaza ahora han amenazado con revelar todos los datos supuestamente robados el 5 de marzo de 2025, a menos que se paga una solicitud de rescate.
Lee Enterprises es una compañía de medios con sede en los Estados Unidos que tiene y opera más de 77 periódicos diarios, 350 publicaciones, plataformas de medios digitales y servicios de marketing. El objetivo principal de la compañía es las noticias y la publicidad locales, su público digital alcanza decenas de millones por mes.
En un archivo de la Comisión Americana de Bolsa e Intercambio (SEC) a principios de este mes, la compañía reveló que había sufrido un ataque cibernético el 3 de febrero de 2025, provocando interrupciones operativas significativas.
BleepingCompute se enteró de que el desglose causó problemas significativos, como la pérdida de acceso a los sistemas internos y el almacenamiento en la nube, y las VPN corporativas no funcionan.
Una semana después, Lee Enterprises envió un nuevo archivo a la SEC que especificó que los piratas “cifraron las aplicaciones críticas y exfiltraron ciertos archivos”, lo que indica que fueron atacados por el ransomware.
Hoy, Qilin Ransomware ha agregado compañías Lee a su sitio de extorsión web oscuro, compartiendo muestras de datos supuestamente robados, incluidos análisis de identidad gubernamental, acuerdos de confidencialidad, hojas de cálculo financiero, contratos / acuerdos y otros documentos confidenciales que supuestamente roban de la compañía.
Fuente: BleepingCompute
Los actores de ransomware dijeron que robaron 120,000 archivos por un total de 350 GB de tamaño y amenazaron con liberar todo el 5 de marzo.
BleepingCompute contactó a Lee Enterprises para averiguar si los datos robados les pertenecían, pero un comentario no estaba disponible de inmediato.
Evolución de ransomware qilin
Qilin no es una de las pandillas de ransomware más prolíficas, pero ha sido un largo camino desde su lanzamiento en agosto de 2022 bajo el nombre de “agenda”.
En los años que siguieron, los ciberdelincuentes han reclamado cientos de víctimas, con casos notables, incluido el gigante del automóvil Yangfeng, los servicios judiciales de Australia Victoria y varios hospitales importantes del NHS en Londres.
En términos de evolución técnica, Qilin introdujo una variante de Linux (ESXI VMware) en diciembre de 2023, comenzó a implementar un ladrón de identificación de Chrome personalizado en agosto de 2024 e introdujo un registro de datos basado en el óxido con un cifrado más fuerte y un mejor escape en octubre pasado.
El año pasado, Microsoft publicó un informe que indica que los miembros notablemente del colectivo pirata “dispersé Spider” habían comenzado a usar el ransomware Qilin en ataques.