Loongegevens, zoals loonstrookjes en te veel betaalde brieven, van een klein aantal werknemers vanaf januari 2023 zijn mogelijk in beslag genomen door de groep, zo bleek uit de memo.
"Onderzoek wijst nu uit dat het mogelijk is dat gegevens van Rio Tinto beïnvloed zijn", aldus de memo.
De cybercriminele groep dreigde de gegevens vrij te geven op het dark web terwijl het onderzoek naar het incident nog gaande was, voegde de Anglo-Australische mijnbouwgigant eraan toe.
"Tot op heden is geen van de hierboven beschreven gegevens vrijgegeven, en we weten nog steeds niet of de cybercriminele groep deze gegevens in zijn bezit heeft of niet."
De gestolen gegevens hebben betrekking op een aanval op GoAnywhere - een managed file transfer (MFT) software die wordt aangeboden door het Amerikaanse cyberbeveiligingsbedrijf Fortra.
Een groot aantal internationale bedrijven en overheidsinstellingen hebben de afgelopen weken cyberbeveiligingsincidenten gemeld die in verband staan met GoAnywhere MFT.
Hitachi Energy, een onderdeel van het Japanse conglomeraat Hitachi, zei vorige week dat een ransomware-aanval door de "CL0P"-groep op GoAnywhere in sommige landen had kunnen leiden tot onbevoegde toegang tot personeelsgegevens.
Vorige maand bevestigde Community Health Systems in een Amerikaans beursdossier dat de persoonlijke en medische gegevens van ongeveer een miljoen mensen mogelijk getroffen waren door een beveiligingslek bij Fortra.
Fortra reageerde niet onmiddellijk op een verzoek van Reuters om commentaar.
Software voor het delen van bestanden is van oudsher een doelwit voor cybercriminelen. In 2021 werden kwetsbaarheden in de servers van het in Californië gevestigde Accellion uitgebuit door de CL0P-groep, wat leidde tot datalekken bij Morgan Stanley , Kroger Co , de Reserve Bank of New Zealand en andere belangrijke instellingen.
Rio Tinto heeft niet gezegd wie verantwoordelijk is voor de laatste cyberaanvallen.
Rio's aandelen in Londen stonden 1,6% lager om 1013 GMT.
