El grupo de ransomware ALPHV/BlackCat ha llevado la extorsión a un nuevo nivel al presentar una denuncia ante la Comisión de Bolsa y Valores de EE. UU. (SEC) contra una de sus presuntas víctimas por no cumplir con el requisito de que los ciberataques deben ser reportados a la agencia en un plazo de cuatro años. días.
La pandilla BlackCat incluyó al proveedor de software MeridianLink en su filtración de datos con la amenaza de que filtraría datos supuestamente robados de la empresa a menos que se pagara un rescate dentro de las 24 horas. MeridianLink es una empresa que cotiza en bolsa que ofrece soluciones digitales para organizaciones financieras como bancos, cooperativas de crédito y prestamistas hipotecarios.
Según DataBreaches.net, la pandilla dijo que violaron la red de MeridianLink el 7 de noviembre y robaron datos de la empresa sin cifrar los sistemas. Los operadores de ransomware dijeron que “parece que MeridianLink se ha puesto en contacto, pero aún no hemos recibido un mensaje sobre su terminación” para negociar un pago a cambio de no filtrar los datos.
La supuesta falta de respuesta de la compañía probablemente llevó a los piratas informáticos a ejercer más presión al presentar una queja ante la SEC porque MeridianLink no reveló el incidente de ciberseguridad que afectó “los datos del cliente y la información operativa”.
Para demostrar que su queja es real, BlackCat publicó una captura de pantalla del formulario que completó en la página “Consejos, quejas y referencias” de la SEC en su sitio web. En sus propias palabras, el grupo le dijo a la SEC que MeridianLink sufrió una “infracción significativa” y no la reveló como se requiere en el Formulario 8-K bajo el Punto 1.05.
Tras una serie de incidentes de seguridad en organizaciones estadounidenses, la SEC adoptó nuevas reglas que exigen que las empresas que cotizan en bolsa informen sobre ciberataques que tengan un impacto material, es decir, que influyan en las decisiones de inversión. La notificación de incidentes de ciberseguridad “debe realizarse dentro de los cuatro días hábiles posteriores al incidente, según la nueva norma. De hecho, las nuevas normas de ciberseguridad de la SEC entrarán en vigor el 15 de diciembre, explicó Reuters a principios de octubre.
La pandilla BlackCat también proporcionó en su sitio web la respuesta que recibió de la SEC a la denuncia contra MeridianLink, para demostrar que se recibió la presentación.
MeridianLink, sin embargo, dijo a los medios internacionales que después de identificar el incidente, actuó de inmediato para contener la amenaza y contrató a un equipo de expertos externos para investigar. La compañía agregó que todavía está trabajando para determinar si alguna información personal del consumidor se vio afectada por el ciberataque y que notificará a las partes afectadas si es así.
Si bien muchas bandas de ransomware y extorsión han amenazado con denunciar violaciones y robo de datos a la SEC, esta es la primera vez que un grupo de delitos cibernéticos lo hace. Anteriormente, los operadores de ransomware ejercían presión sobre las víctimas contactando a los clientes para informarles de la intrusión. En ocasiones también intentaban intimidar a la víctima contactándola directamente por teléfono.
Vea la publicación original en: CisoAdvisor
