A operação de ransomware ALPHV/BlackCat levou a extorsão a um novo nível ao registrar uma queixa na Comissão de Valores Mobiliários dos EUA contra uma de suas supostas vítimas por não cumprir a regra de quatro dias para divulgar um ciberataque.
Hoje mais cedo, o autor da ameaça listou a empresa de software MeridianLink em seu vazamento de dados com a ameaça de que vazariam supostamente dados roubados a menos que um resgate fosse pago em 24 horas.
A MeridianLink é uma empresa de capital aberto que oferece soluções digitais para organizações financeiras como bancos, associações de crédito e credores hipotecários.
Segundo o DataBreaches.net, a gangue de ransomware ALPHV disse que invadiu a rede da MeridianLink em 7 de novembro e roubou dados da empresa sem criptografar os sistemas.
O ator do ransomware disse que "parece que a MeridianLink entrou em contato, mas ainda não recebemos uma mensagem deles" para negociar um pagamento em troca de não vazar os supostos dados roubados.
A suposta falta de resposta da empresa provavelmente levou os hackers a exercerem mais pressão enviando uma queixa à Comissão de Valores Mobiliários dos EUA (SEC) sobre a MeridianLink não divulgar um incidente de cibersegurança que impactou "dados do cliente e informações operacionais".
Para mostrar que a queixa é real, a ALPHV publicou em seu site uma captura de tela do formulário que preencheram na página de Dicas, Queixas e Encaminhamentos da SEC.
Em suas próprias palavras, o atacante informou à SEC que a MeridianLink sofreu uma "violação significativa" e não a divulgou conforme exigido no Formulário 8-K, sob o Item 1.05.
Após uma enxurrada de incidentes de segurança em organizações dos EUA, a SEC adotou novas regras que exigem que as empresas de capital aberto relatem ciberataques que têm um impacto material, ou seja, influenciam decisões de investimento.
O relato de incidentes de cibersegurança é "devido quatro dias úteis após um registrante determinar que um incidente de cibersegurança é material", afirma a nova regra.
No entanto, as novas regras de cibersegurança da SEC entrarão em vigor em 15 de dezembro de 2023, explicou a Reuters no início de outubro.
A ALPHV também forneceu em seu site a resposta que receberam da SEC à queixa contra a MeridianLink, para mostrar que a submissão foi recebida.
Em um comunicado para o BleepingComputer, a MeridianLink disse que após identificar o incidente agiu imediatamente para conter a ameaça e contratou uma equipe de especialistas terceirizados para investigar.
A empresa acrescentou que ainda está trabalhando para determinar se alguma informação pessoal do consumidor foi impactada pelo ciberataque e informará as partes afetadas, se for o caso.
Embora muitas gangues de ransomware e extorsão tenham ameaçado denunciar violações e roubo de dados à SEC, esta pode ser a primeira confirmação pública de que fizeram isso.
Anteriormente, os atores do ransomware exerciam pressão sobre as vítimas contatando os clientes para informá-los sobre a intrusão.
Às vezes, eles também tentavam intimidar a vítima entrando em contato diretamente por telefone.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...