Um notório grupo de ransomware apresentou uma queixa à Comissão de Valores Mobiliários dos EUA (SEC) sobre a falha de uma vítima em divulgar uma suposta violação de dados resultante de um ataque conduzido pela própria gangue do crime cibernético.
O grupo de ransomware conhecido como Alphv e BlackCat afirma ter violado os sistemas de
MeridianLink, uma empresa com sede na Califórnia que fornece soluções de empréstimo digital para instituições financeiras e soluções de verificação de dados para consumidores.
Os cibercriminosos afirmam ter roubado uma quantidade significativa de dados de clientes e informações operacionais pertencentes ao MeridianLink e ameaçam vazá-los, a menos que um resgate seja pago.
Em um aparente esforço para aumentar suas chances de serem pagos, os hackers mal-intencionados afirmam ter apresentado uma queixa à SEC contra a MeridianLink, acusando a empresa de não divulgar a violação no prazo de quatro dias úteis, conforme exigido pelas regras anunciadas pela agência em Julho.
A BlackCat publicou capturas de tela em seu site de vazamento em 15 de novembro para mostrar que a reclamação foi apresentada e recebida pela SEC.
Esta parece ser a primeira vez que um grupo de ransomware apresenta uma queixa à SEC contra uma de suas vítimas.
Os hackers disseram DataBreaches.net que o ataque contra o MeridianLink – que supostamente não envolveu ransomware com criptografia de arquivos, apenas roubo de dados – foi conduzido em 7 de novembro e foi descoberto no mesmo dia.
No entanto, MeridianLink disse ao DataBreaches.net que a intrusão ocorreu em 10 de novembro.
“Após a descoberta no mesmo dia, agimos imediatamente para conter a ameaça e contratamos uma equipe de especialistas terceirizados para investigar o incidente. Com base na nossa investigação até o momento, não identificamos nenhuma evidência de acesso não autorizado às nossas plataformas de produção, e o incidente causou interrupção mínima dos negócios”, afirmou a empresa, acrescentando que não pode compartilhar mais detalhes devido à investigação em andamento.
Vale ressaltar que as novas regras de divulgação de violação de dados da SEC só entrarão em vigor em meados de dezembro de 2023. Além disso, as empresas serão obrigadas a notificar a SEC no prazo de quatro dias úteis após determinarem que um incidente de segurança cibernética é material para os investidores, o que , com base na declaração da MeridianLink, ainda não aconteceu.
Semana de Segurança entrou em contato com a SEC para comentar e atualizará este artigo se a agência responder.
BlackCat tem sido uma das operações de ransomware mais ativas e não é incomum que o grupo tente novos métodos para convencer os alvos a pagar, inclusive através da criação de sites de vazamento dedicados para vítimas individuais.
