L’operació de programari de segrest de ALPHV/BlackCat ha portat l’extorsió a un nou nivell quan ha presentat una queixa de la Comissió de Valors i Borsa dels Estats Units (SEC) contra una de les seves suposades víctimes per no complir la regla dels quatre dies per revelar un ciberatac.

Avui, l’actor de l’amenaça va esmentar l’empresa de programari MeridianLink i la seva filtració de dades amb l’amenaça que filtrarien dades presumptament robades tret que pagués un rescat en 24 hores.

MeridianLink és una empresa que cotitza en borsa i que ofereix solucions digitals per a organitzacions financeres com ara bancs, cooperatives de crèdit i bancs hipotecaris.

Segons DataBreaches.net, la banda de programari de segrest ALPHV va dir que van violar la xarxa de MeridianLink el 7 de novembre i va robar les dades de l’empresa sense sistemes de xifratge.

L’actor de l’acció del programari de segrest va dir que “sembla que MeridianLink ens ha contactat, però encara no hem rebut un missatge” per negociar un pagament a canvi de no filtrar les dades suposadament robades.

La suposada manca de resposta de l’empresa va provocar, probablement, que els pirates informàtics exercissin més pressió tot enviant una queixa a la Comissió de Valors i Borsa dels Estats Units (SEC) perquè MeridianLink no havia revelat un incident de ciberseguretat que va afectar “les dades de clients i la informació operativa.”

Per demostrar que la seva queixa és real, ALPHV va publicar al seu web una captura de pantalla del formulari que va omplir a la pàgina Consells, queixes i referències de la SEC.

L’atacant va dir a la SEC que MeridianLink havia comès un “incompliment important” perquè no va revelar l’incident, tal com s’exigeix al formulari 8-K, a l’article 1.05.

Després d’una pluja d’incidents de seguretat a les organitzacions nord-americanes, la SEC va adoptar mesures noves que exigeixen que les empreses cotitzades en borsa han de denunciar els ciberatacs que tinguin un impacte material, és a dir, que influeixin en les decisions d’inversió.

Tanmateix, les noves regles de ciberseguretat de la SEC entraran en vigor el 15 de desembre de 2023, va explicar Reuters a principis d’octubre.

Alhora ALPHV també va proporcionar la resposta que van rebre de la SEC a la queixa contra MeridianLink, per demostrar-ne la seva recepció.

MeridianLink confirms el ciberatac

En un comunicat per a BleepingComputer, MeridianLink va dir que després d’identificar l’incident va actuar immediatament per contenir l’amenaça i va contractar un equip d’experts externs per investigar-lo.

L’empresa va afegir que encara està treballant per determinar si alguna informació personal dels consumidors s’ha vist afectada pel ciberatac i, si és així, ho notificarà a les parts afectades.

“A partir de la nostra investigació duta a terme fins ara, no hem identificat cap evidència d’accés no autoritzat a les nostres plataformes de producció i l’incident ha causat una interrupció mínima del negoci”. – MeridianLink

Tot i que moltes bandes de programari de segrest i extorsió han amenaçat amb denunciar infraccions i robatoris de dades a la SEC, aquesta en podria ser la primera confirmació pública.

Abans, els actors d’atacs amb programaris de segrest exercien pressió sobre les víctimes posant-se en contacte amb els clients per informar-los de la intrusió. De vegades, també intentaven intimidar la víctima posant-se en contacte amb ella directament per telèfon.