勒索軟體組織 ALPHV(又稱「BlackCat」)已向美國證券交易委員會 (SEC) 提出正式投訴,聲稱最近的受害者未能遵守新的披露規定。
ALPHV 內部人士 告訴 databreaches.net 7 月 XNUMX 日,該組織成功攻擊了數位借貸服務提供商 MeridianLink,在未加密其文件的情況下進行了滲透。 此後,除了一次互動之外, 多產的威脅行為者 未能與該公司就被盜數據進行談判。
ALPHV 週三將這些資料發佈到其洩漏網站上。 它還嘗試了一種史無前例的額外勒索策略,向美國證券交易委員會提交了一份關於其自身犯罪的報告,聲稱其受害者未能遵循 美國證券交易委員會的新指導方針 公司必須多快公開揭露其違規行為。
「這是對安全領導者的另一個警告,他們必須認識到,披露決策和計劃不再僅僅以安全最佳實踐為指導; 聯邦法律責任也發揮著重要作用,」Keeper Security 安全與架構副總裁 Patrick Tiquet 說。
ALPHV 同時扮演警察和強盜
七月26, 美國證券交易委員會 (SEC) 宣布新的網路規則 對於上市公司。 其中一項突出要求是,要求公司披露“他們確定為重大的任何網路安全事件”,並描述“事件的性質、範圍和時間安排的重要方面,以及其重大影響或合理可能的重大影響”。登記人。” 此類提交「通常需要在註冊人確定網路安全事件重大後四個工作天內提交」。
四天過去了,MeridianLink 沒有任何消息,ALPHV 透過 SEC 官方網站提交了有關違規的資訊:
該組織寫道:“我們希望提請您注意有關 MeridianLink 遵守最近通過的網路安全事件披露規則的令人擔憂的問題。” 「我們注意到,鑑於存在嚴重洩露客戶資料和營運資訊的行為,MeridianLink 未能按照新法規的要求,在規定的四個工作天內根據 1.05-K 表第 8 項提交必要的揭露資訊。美國證券交易委員會的規定。”
該消息來源向 databreaches.net 提供了表格的螢幕截圖以及確認提交的自動收據。
SEC 新規則的細微差別
撇開此舉的大膽不談,ALPHV 可能因兩個原因而在 SEC 面前不走運。
一方面,在 向 BleepingComputer 提供的聲明 週三,MeridianLink 表示,尚不確定是否有任何消費者個人資訊被洩露,並補充說,「根據我們迄今為止的調查,我們沒有發現任何未經授權訪問我們生產平台的證據,該事件對業務造成的影響微乎其微”。打擾。” 根據 SEC 的說法,ALPHV 竊取和發布的具體數據可能會影響違規行為是否「重大」。
其次,如中所述 其原始新聞稿,新的 SEC 揭露規則僅在 18 月 180 日生效。(較小的公司將有更大的迴旋餘地,在必須加入之前還有額外的 XNUMX 天)。
類似攻擊的未來受害者將很難獲得休息。
蒂奎特警告說:“威脅向美國證券交易委員會提出‘未報告’受害者的投訴是一種令人信服的策略,可能會將政府監管武器化,以謀取網絡犯罪集團的利益。” “美國證券交易委員會的紀律處分不會掉以輕心,罰款可能會非常高。”
