Gangue de ransomware registra reclamação na SEC sobre violação não divulgada pela vítima
16 de Novembro de 2023

A operação de ransomware ALPHV/BlackCat levou a extorsão a um novo nível ao registrar uma queixa na Comissão de Valores Mobiliários dos EUA contra uma de suas supostas vítimas por não cumprir a regra de quatro dias para divulgar um ciberataque.

Hoje mais cedo, o autor da ameaça listou a empresa de software MeridianLink em seu vazamento de dados com a ameaça de que vazariam supostamente dados roubados a menos que um resgate fosse pago em 24 horas.

A MeridianLink é uma empresa de capital aberto que oferece soluções digitais para organizações financeiras como bancos, associações de crédito e credores hipotecários.

Segundo o DataBreaches.net, a gangue de ransomware ALPHV disse que invadiu a rede da MeridianLink em 7 de novembro e roubou dados da empresa sem criptografar os sistemas.

O ator do ransomware disse que "parece que a MeridianLink entrou em contato, mas ainda não recebemos uma mensagem deles" para negociar um pagamento em troca de não vazar os supostos dados roubados.

A suposta falta de resposta da empresa provavelmente levou os hackers a exercerem mais pressão enviando uma queixa à Comissão de Valores Mobiliários dos EUA (SEC) sobre a MeridianLink não divulgar um incidente de cibersegurança que impactou "dados do cliente e informações operacionais".

Para mostrar que a queixa é real, a ALPHV publicou em seu site uma captura de tela do formulário que preencheram na página de Dicas, Queixas e Encaminhamentos da SEC.

Em suas próprias palavras, o atacante informou à SEC que a MeridianLink sofreu uma "violação significativa" e não a divulgou conforme exigido no Formulário 8-K, sob o Item 1.05.

Após uma enxurrada de incidentes de segurança em organizações dos EUA, a SEC adotou novas regras que exigem que as empresas de capital aberto relatem ciberataques que têm um impacto material, ou seja, influenciam decisões de investimento.

O relato de incidentes de cibersegurança é "devido quatro dias úteis após um registrante determinar que um incidente de cibersegurança é material", afirma a nova regra.

No entanto, as novas regras de cibersegurança da SEC entrarão em vigor em 15 de dezembro de 2023, explicou a Reuters no início de outubro.

A ALPHV também forneceu em seu site a resposta que receberam da SEC à queixa contra a MeridianLink, para mostrar que a submissão foi recebida.

Em um comunicado para o BleepingComputer, a MeridianLink disse que após identificar o incidente agiu imediatamente para conter a ameaça e contratou uma equipe de especialistas terceirizados para investigar.

A empresa acrescentou que ainda está trabalhando para determinar se alguma informação pessoal do consumidor foi impactada pelo ciberataque e informará as partes afetadas, se for o caso.

Embora muitas gangues de ransomware e extorsão tenham ameaçado denunciar violações e roubo de dados à SEC, esta pode ser a primeira confirmação pública de que fizeram isso.

Anteriormente, os atores do ransomware exerciam pressão sobre as vítimas contatando os clientes para informá-los sobre a intrusão.

Às vezes, eles também tentavam intimidar a vítima entrando em contato diretamente por telefone.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...