O grupo de ransomware ALPHV/BlackCat levou a extorsão a um novo nível ao registrar uma queixa na Comissão de Valores Mobiliários dos EUA (SEC) contra uma de suas supostas vítimas por não cumprir a exigência de que os ataques cibernéticos devem ser relatados à agência dentro de quatro dias.
A gangue BlackCat listou o fornecedor de software MeridianLink em seu vazamento de dados com a ameaça de que vazaria dados supostamente roubados da empresa, a menos que um resgate fosse pago dentro de 24 horas. MeridianLink é uma empresa de capital aberto que fornece soluções digitais para organizações financeiras, como bancos, cooperativas de crédito e credores hipotecários.
De acordo com DataBreaches.net, a gangue disse que violou a rede MeridianLink em 7 de novembro e roubou dados da empresa sem criptografar os sistemas. Os operadores de ransomware disseram que “parece que o MeridianLink entrou em contato, mas ainda não recebemos uma mensagem sobre seu encerramento” para negociar um pagamento em troca de não vazar os dados.
A alegada falta de resposta da empresa provavelmente levou os hackers a exercerem mais pressão, enviando uma reclamação à SEC sobre a MeridianLink não ter divulgado o incidente de segurança cibernética que impactou “dados do cliente e informações operacionais”.
Para mostrar que sua reclamação é real, a BlackCat postou uma captura de tela do formulário que você preencheu na página “Dicas, reclamações e referências” da SEC em seu site. Em suas próprias palavras, o grupo disse à SEC que a MeridianLink sofreu uma “violação significativa” e não a divulgou conforme exigido no Formulário 8-K no Item 1.05.
Após uma série de incidentes de segurança em organizações dos EUA, a SEC adotou novas regras que exigem que as empresas cotadas na bolsa comuniquem ataques cibernéticos que tenham um impacto material, ou seja, que influenciem as decisões de investimento. A denúncia de incidentes de cibersegurança “deve ser feita no prazo de quatro dias úteis após o incidente, de acordo com a nova regra. Na verdade, as novas regras de cibersegurança da SEC deverão entrar em vigor em 15 de dezembro, explicou a Reuters no início de outubro.
A gangue BlackCat também disponibilizou em seu site a resposta que recebeu da SEC à denúncia contra MeridianLink, para comprovar que o envio foi recebido.
A MeridianLink, no entanto, disse à mídia internacional que, após identificar o incidente, agiu imediatamente para conter a ameaça e contratou uma equipe de especialistas terceirizados para investigar. A empresa acrescentou que ainda está trabalhando para determinar se alguma informação pessoal do consumidor foi afetada pelo ataque cibernético e que notificará as partes afetadas em caso afirmativo.
Embora muitas gangues de ransomware e extorsão tenham ameaçado denunciar violações e roubo de dados à SEC, esta é a primeira vez que um grupo de crimes cibernéticos o faz. Anteriormente, os operadores de ransomware exerciam pressão sobre as vítimas contactando os clientes para informá-los da intrusão. Às vezes, eles também tentavam intimidar a vítima contatando-a diretamente por telefone.
Veja a postagem original em: CisoAdvisor