imágenes falsas
Uno de los grupos de ransomware más activos del mundo ha adoptado una táctica inusual, si no sin precedentes, para presionar a una de sus víctimas a pagar: denunciar a la víctima ante la Comisión de Bolsa y Valores de EE. UU.
La táctica de presión salió a la luz en una publicación publicada el miércoles en el sitio web oscuro dirigido por AlphV, un sindicato criminal de ransomware que ha estado en funcionamiento durante dos años. Después de afirmar por primera vez haber violado la red de la empresa de préstamos digitales que cotiza en bolsa MeridianLink, los funcionarios de AlphV publicaron una captura de pantalla de una queja que dijeron haber presentado ante la SEC a través del sitio web de la agencia. Según una regla recientemente adoptada que entrará en vigor el próximo mes, las empresas que cotizan en bolsa deben presentar una declaración a la SEC dentro de los cuatro días posteriores al conocimiento de un incidente de seguridad que tuvo un impacto «material» en su negocio.
«Queremos llamar su atención sobre un tema preocupante relacionado con el cumplimiento por parte de MeridianLink de las reglas de divulgación de incidentes de ciberseguridad adoptadas recientemente», escribieron funcionarios de AlphV en la denuncia. “Nos ha llamado la atención que MeridianLink, a la luz de una violación significativa que compromete los datos del cliente y la información operativa, no ha presentado la divulgación requerida bajo el punto 1.05 del formulario 8-K dentro de los cuatro días hábiles estipulados, según lo dispuesto por el nuevo Reglas de la SEC”.
La categoría de infracción seleccionada en el informe en línea fue «Información errónea u omisión importante en las presentaciones o estados financieros de una empresa o falta de presentación».
La publicación de la web oscura del miércoles también incluyó lo que parecía ser una respuesta automática recibida de la SEC acusando recibo de la queja.
Como se señaló, la norma aún no ha entrado en vigor, por lo que incluso si la infracción cumple con la definición legal de evento importante, no es probable que MeridianLink esté en infracción. Dicho esto, es probable que AlphV esté aprovechando la ansiedad en toda la industria causada por la reciente decisión de la SEC de demandar al director de seguridad de la información de SolarWinds. La SEC alegó que el ejecutivo de SolarWinds engañó a los inversores sobre las prácticas de ciberseguridad de la compañía antes de un ciberataque en 2020 por parte de piratas informáticos rusos que luego infectaron a 18.000 clientes de SolarWinds con malware.
Los funcionarios de MeridianLink rechazaron una solicitud de entrevista o responder preguntas sobre si los datos del cliente fueron violados en una intrusión en la red o si se produjo un ataque de seguridad que podría considerarse material. En cambio, la compañía emitió un comunicado confirmando que los funcionarios habían identificado un «incidente de ciberseguridad» y continuó diciendo:
Al descubrirlo, actuamos de inmediato para contener la amenaza y contratamos a un equipo de expertos externos para investigar el incidente. Según nuestra investigación hasta la fecha, no hemos identificado evidencia de acceso no autorizado a nuestras plataformas de producción y el incidente ha causado una interrupción mínima del negocio. Si determinamos que alguna información personal del consumidor estuvo involucrada en este incidente, proporcionaremos notificaciones, según lo exige la ley.
Brett Callow, analista de seguridad de Emsisoft, señaló que un grupo de ransomware conocido como Maze advirtió previamente a las víctimas que «mantiene la comunicación con los principales reguladores financieros y de valores y los reconocerá en todas las filtraciones e infracciones de datos si no se llega a un acuerdo». .”
«No estoy seguro de si alguna vez lo hicieron», dijo Callow a Ars. «Las pandillas también han amenazado con presentar quejas sobre el RGPD y, IIRC, es posible que una de ellas haya cumplido con eso». Dijo que no tiene conocimiento de que ningún grupo haya presentado una queja ante la SEC. GDPR es la abreviatura de Reglamento General de Protección de Datos, una ley de la Unión Europea que otorga a las personas amplias protecciones de privacidad.
AlphV apareció por primera vez en noviembre de 2021 y se destaca por el uso de ransomware, llamado BlackCat, desarrollado en el lenguaje de programación Rust. El grupo se dirige a entornos Windows y Linux.
“A partir de abril de 2023, ALPHV se ha convertido en uno de los grupos de ransomware más prolíficos en el panorama de amenazas actual, y solo se queda atrás del grupo de ransomware Lockbit en la actividad observada”, escribió en mayo el analista geopolítico y de ciberseguridad Chris Lucas. “Al ser principalmente un grupo con sede en Rusia, es poco probable que ALPHV apunte a organizaciones con sede en la Federación Rusa o en el resto de la Comunidad de Estados Independientes (CEI) que conforman la ex Unión Soviética”.
El grupo ya era conocido por la práctica poco común de amenazar con lanzar ataques distribuidos de denegación de servicio contra los objetivos que ya había comprometido en un intento de aplicar presión adicional para que pagaran.
En las operaciones del jueves, las acciones de MeridianLink cayeron un 0,2 por ciento, o 4 centavos, a 18,51 dólares.