El grupo de ransomware ALPHV (también conocido como "BlackCat") presentó una queja formal ante la Comisión de Bolsa y Valores de EE. UU. (SEC), alegando que una víctima reciente no cumplió con las nuevas regulaciones de divulgación.
Un experto en ALPHV dijo a databreaches.net que, el 7 de noviembre, el grupo atacó con éxito al proveedor de servicios de préstamos digitales MeridianLink, extrayendo sin cifrar sus archivos. A partir de entonces, aparte de una interacción, el prolífico actor de amenazas no logró involucrar a la empresa en negociaciones sobre los datos robados.
ALPHV publicó esos datos en su sitio de filtración el miércoles. También probó una táctica de extorsión adicional sin precedentes, presentando un informe sobre su propio delito a la SEC, alegando que su víctima no cumplió. nuevas directrices de la SEC sobre qué tan pronto las empresas tienen que revelar públicamente sus infracciones.
“Esta es otra advertencia más para los líderes de seguridad, quienes deben reconocer que las decisiones y los planes de divulgación ya no se guían únicamente por las mejores prácticas de seguridad; las responsabilidades legales federales también juegan un papel importante”, dice Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security.
ALPHV jugando a policía y ladrón al mismo tiempo
: El July 26, la SEC anunció nuevas reglas cibernéticas para empresas públicas. Uno de los aspectos más destacados fue el requisito de que las empresas revelen “cualquier incidente de ciberseguridad que determinen que es material”, junto con una descripción de “los aspectos materiales de la naturaleza, el alcance y el momento del incidente, así como su impacto material o un impacto material razonablemente probable en el registrante.” Dicha presentación "generalmente deberá presentarse cuatro días hábiles después de que un solicitante de registro determine que un incidente de ciberseguridad es importante".
Cuando pasaron cuatro días sin noticias de MeridianLink, ALPHV envió información sobre la infracción a través del sitio web oficial de la SEC:
"Queremos llamar su atención sobre un tema preocupante relacionado con el cumplimiento por parte de MeridianLink de las reglas de divulgación de incidentes de ciberseguridad recientemente adoptadas", escribió el grupo. “Nos ha llamado la atención que MeridianLink, a la luz de una violación significativa que compromete los datos del cliente y la información operativa, no ha presentado la divulgación requerida según el Artículo 1.05 del Formulario 8-K dentro de los cuatro días hábiles estipulados, según lo exige el nuevo Reglas de la SEC”.
La fuente proporcionó a databreaches.net una captura de pantalla del formulario y el recibo automático que confirma el envío.
Matices en la nueva regla de la SEC
Dejando de lado la pura audacia de la medida, ALPHV puede no tener suerte con la SEC por dos razones.
Por un lado, en una declaración proporcionada a BleepingComputer El miércoles, MeridianLink declaró que aún no estaba seguro si alguna información personal del consumidor se vio comprometida, y agregó que "según nuestra investigación hasta la fecha, no hemos identificado evidencia de acceso no autorizado a nuestras plataformas de producción, y el incidente ha causado un mínimo de negocios". interrupción." Exactamente qué datos robó y publicó ALPHV puede afectar si la violación es “material”, según el lenguaje de la SEC.
En segundo lugar, como se señala en su comunicado de prensa original, la nueva norma de divulgación de la SEC no entrará en vigor hasta el 18 de diciembre (las empresas más pequeñas tendrán aún más margen de maniobra, con 180 días adicionales antes de tener que incorporarse).
Las futuras víctimas de ataques similares tendrán menos descansos con los que contar.
“Usar la amenaza de presentar una queja por 'no informar' contra su propia víctima ante la SEC es una táctica convincente que podría convertir una regulación gubernamental en un arma en beneficio de un grupo cibercriminal”, advierte Tiquet. "Las medidas disciplinarias de la SEC no deben tomarse a la ligera y las multas pueden ser muy elevadas".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/risk/alphv-ransomware-group-files-sec-complaint-against-own-victim
