Группа киберпреступников ALPHV/BlackCat внесла инновацию в методы вымогательства, подав жалобу в Комиссию по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) на компанию MeridianLink. Хакеры обвинили компанию в несоблюдении установленного срока в 4 дня для официального раскрытия информации о кибератаке.
По новым правилам SEC компании, акции которых котируются на бирже, обязаны сообщать о кибератаках, которые имеют материальные последствия, т.е. влияют на инвестиционные решения. Однако, эти правила вступают в силу только 15 декабря 2023 года, пишут СМИ.
MeridianLink, публично торгуемая компания, занимающаяся разработкой цифровых решений для финансовых организаций и банков, была внесена в список утечек данных группировки ALPHV. Преступники угрожали раскрыть украденные данные, если выкуп не будет уплачен в течение 24 часов.
По данным DataBreaches.net, группа ALPHV заявляет, что проникла в сеть MeridianLink 7 ноября и похитила данные, не прибегая к шифрованию систем. Группа указала на отсутствие обратной связи от компании по поводу переговоров о выплате выкупа, что, предположительно, стало причиной обращения в SEC.
В жалобе, отправленной в SEC, говорится, что MeridianLink не раскрыла информацию о крупном нарушении кибербезопасности, как того требует законодательство. Для подтверждения своих действий, ALPHV опубликовала на своём сайте скриншот заполненной формы жалобы на странице SEC.
MeridianLink подтвердила факт кибератаки изданию BleepingComputer и заявила, что после её обнаружения приняла меры по локализации угрозы и привлекла сторонних экспертов для расследования. В компании также сообщили, что проводят работу по определению, были ли затронуты личные данные потребителей, и готовы уведомить пострадавшие стороны в случае необходимости. По словам компании, на данный момент нет доказательств несанкционированного доступа к производственным платформам, и кибератака привела к минимальным перебоям в работе.
Такой случай может стать первым публично подтверждённым примером, когда группа вымогателей сама обратилась в SEC. Ранее вымогательские группы ограничивались угрозами обращения в регулирующие органы или информирования клиентов жертв о взломе.