Grupo faz reclamação à SEC sobre violação não relatada pela vítima
22 de Novembro de 2023

O grupo de ransomware ALPHV/BlackCat elevou a extorsão a um outro patamar ao registrar uma queixa na Comissão de Valores Mobiliários (SEC) dos EUA contra uma de suas supostas vítimas por não cumprir a exigência de que ataques cibernéticos devem ser notificados à comissão dentro de quatro dias.

A gangue BlackCat citou a fornecedora de software MeridianLink em sua divulgação de dados com a ameaça de que vazaria dados supostamente roubados da empresa, a menos que um resgate fosse pago em 24 horas.

A MeridianLink é uma empresa de capital aberto que oferece soluções digitais para organizações financeiras, como bancos, cooperativas de crédito e credores imobiliários.

Segundo o DataBreaches.net, a gangue afirmou que violou a rede da MeridianLink em 7 de novembro e roubou dados da empresa sem criptografar os sistemas.

Os operadores do ransomware disseram que "parece que a MeridianLink entrou em contato, mas ainda não recebemos uma mensagem de retorno" para negociar um pagamento em troca de não vazar os dados.

A suposta falta de resposta da empresa provavelmente levou os hackers a pressionar ainda mais ao enviar uma reclamação à SEC sobre a MeridianLink não ter divulgado o incidente de segurança cibernética que afetou "dados de clientes e informações operacionais".

Para mostrar que sua reclamação é real, a BlackCat publicou em seu site um print screen do formulário que preencheu na página "Dicas, Reclamações e Indicações" da SEC.

Em suas próprias palavras, o grupo informou à SEC que a MeridianLink sofreu uma "violação significativa" e não a divulgou conforme exigido no formulário 8-K, sob o Item 1.05.

Após uma série de incidentes de segurança em organizações dos EUA, a SEC adotou novas regras que exigem que as empresas de capital aberto relatem ataques cibernéticos que tenham um impacto material, ou seja, que influenciem as decisões de investimento.

A comunicação de incidentes de cibersegurança "deve ser feita dentro de quatro dias úteis após o incidente, segundo a nova regra.

Na verdade, as novas regras de segurança cibernética da SEC entrarão em vigor em 15 de dezembro, explicou a Reuters no início de outubro.

Veja isso: BlackCat invade armazenamento do Azure com criptografador.

Gangue BlackCat assume autoria de hack à rede da japonesa Seiko.

O BlackCat também disponibilizou em seu site a resposta que recebeu da SEC à queixa contra a MeridianLink, para mostrar que a apresentação foi recebida.

A MeridianLink, por sua vez, informou à imprensa internacional que, após identificar o incidente, agiu imediatamente para conter a ameaça e contratou uma equipe de especialistas terceirizados para investigar.

A empresa acrescentou que ainda está trabalhando para determinar se alguma informação pessoal do consumidor foi afetada pelo ataque cibernético e que notificará as partes afetadas, se necessário.

Embora muitas gangues de ransomware e extorsão tenham ameaçado reportar violações e roubo de dados à SEC, esta é a primeira vez que um grupo de cibercrime o faz.

Anteriormente, os operadores de ransomware pressionavam as vítimas, entrando em contato com os clientes para informá-los da invasão.

Às vezes, eles também tentavam intimidar a vítima, contatando-a diretamente por telefone.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...