L’opération de rançongiciel ALPHV/BlackCat a porté l’extorsion à un nouveau niveau en déposant une plainte auprès de la Securities and Exchange Commission des États-Unis contre l’une de leurs victimes présumées pour non-respect de la règle des quatre jours pour divulguer une cyberattaque.
Plus tôt dans la journée, l’auteur de la menace a cité la société de logiciels MeridianLink dans sa fuite de données en la menaçant de divulguer des données prétendument volées à moins qu’une rançon ne soit payée dans les 24 heures.
MeridianLink est une société cotée en bourse qui fournit des solutions numériques aux organisations financières telles que les banques, les coopératives de crédit et les prêteurs hypothécaires.
Les pirates dénoncent la SEC
Selon DataBreaches.net, le gang du ransomware ALPHV a déclaré avoir violé le réseau de MeridianLink le 7 novembre et volé les données de l’entreprise sans crypter les systèmes.
L’acteur du ransomware a déclaré qu’« il semble que MeridianLink ait contacté, mais nous n’avons pas encore reçu de message de leur côté » pour négocier un paiement en échange de la non-divulgation des données prétendument volées.
L’absence présumée de réponse de la société a probablement incité les pirates informatiques à exercer davantage de pression en envoyant une plainte à la Securities and Exchange Commission (SEC) des États-Unis concernant la non-divulgation par MeridianLink d’un incident de cybersécurité ayant eu un impact sur « les données des clients et les informations opérationnelles ».
Pour montrer que leur plainte est réelle, ALPHV a publié sur son site une capture d’écran du formulaire qu’ils ont rempli sur la page Conseils, plaintes et références de la SEC.
Selon ses propres mots, l’attaquant a déclaré à la SEC que MeridianLink avait subi une « violation importante » et ne l’avait pas divulgué comme l’exige le formulaire 8-K, au point 1.05.
À la suite d’une série d’incidents de sécurité dans des organisations américaines, la SEC a adopté de nouvelles règles exigeant que les sociétés cotées en bourse signalent les cyberattaques ayant un impact matériel, c’est-à-dire influençant les décisions d’investissement.
La déclaration des incidents de cybersécurité est « due quatre jours ouvrables après qu’un déclarant détermine qu’un incident de cybersécurité est important », indique la nouvelle règle.
Toutefois, les nouvelles règles de cybersécurité de la SEC devraient entrer en vigueur le 15 décembre 2023, expliquait Reuters début octobre.
ALPHV a également fourni sur son site la réponse reçue de la SEC à la plainte contre MeridianLink, pour montrer que la soumission a été reçue.
MeridianLink confirme une cyberattaque
Dans une déclaration pour Breachtrace, MeridianLink a déclaré qu’après avoir identifié l’incident, elle avait immédiatement agi pour contenir la menace et engagé une équipe d’experts tiers pour enquêter.
La société a ajouté qu’elle travaillait toujours pour déterminer si des informations personnelles des consommateurs ont été affectées par la cyberattaque et qu’elle en informerait les parties concernées si c’est le cas.
« Sur la base de notre enquête jusqu’à présent, nous n’avons identifié aucune preuve d’accès non autorisé à nos plates-formes de production, et l’incident a provoqué une interruption minime de nos activités. » -MéridienLink
Alors que de nombreux gangs de ransomwares et d’extorsion ont menacé de signaler les violations et les vols de données à la SEC, il s’agit peut-être de la première confirmation publique de ce qu’ils ont fait.
Auparavant, les acteurs du ransomware exerçaient des pressions sur les victimes en contactant les clients pour les informer de l’intrusion. Parfois, ils tentaient également d’intimider la victime en la contactant directement par téléphone.