“Hoạt động ma thuật” của tổ chức ransomware: Khiếu nại với SEC rằng nạn nhân không khai báo kịp thời việc rò rỉ dữ liệu để buộc anh ta phải trả tiền chuộc

Công ty phần mềm tài chính MeridianLink đã xác nhận rằng họ đang đối phó với một cuộc tấn công mạng trong đó tin tặc đằng sau vụ việc đã thực hiện "các biện pháp đặc biệt" để buộc công ty phải trả tiền chuộc. MeridianLink, công ty đã tạo ra doanh thu hơn 76 triệu USD trong quý trước, cung cấp công cụ cho các ngân hàng, tổ chức tín dụng, tổ chức cho vay thế chấp và cơ quan báo cáo người tiêu dùng Hoa Kỳ.

Tuần này, công ty đã được liệt kê trên trang web rò rỉ AlphV/BlackCat, một băng nhóm ransomware được cho là có trụ sở tại Nga và đã tham gia vào một số cuộc tấn công trắng trợn, bao gồm cả vụ tấn công MGM Resorts.

Người phát ngôn của MeridianLink đã xác nhận với RecordedFutureNews rằng gần đây họ đã phát hiện ra một sự cố an ninh mạng.

Người phát ngôn cho biết: "Sau khi được phát hiện, chúng tôi đã hành động ngay lập tức để ngăn chặn mối đe dọa và thuê một nhóm chuyên gia bên thứ ba để điều tra vụ việc. Dựa trên cuộc điều tra cho đến nay, chúng tôi không tìm thấy bằng chứng nào về việc truy cập trái phép vào nền tảng sản xuất của chúng tôi và sự gián đoạn kinh doanh do vụ việc gây ra là ở mức tối thiểu. Nếu chúng tôi xác định rằng vụ việc này liên quan đến bất kỳ thông tin cá nhân nào của người tiêu dùng, chúng tôi sẽ tuân theo các yêu cầu pháp lý." "

Cuộc tấn công đã thu hút sự quan tâm của các nhà nghiên cứu bảo mật vì nhóm ransomware AlphV tuyên bố trên "trang web chính thức" của mình rằng họ đã báo cáo MeridianLink với Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) vì đã không thông báo cho cơ quan quản lý về vụ việc mà họ cho rằng đã xảy ra một tuần trước và nạn nhân đã không thực hiện nghĩa vụ tiết lộ thông tin của mình.

Nhóm ransomware sau đó đã chia sẻ một bức ảnh về một biểu mẫu mà chúng gửi tới SEC và tuyên bố sai sự thật rằng MeridianLink đã vi phạm các quy tắc báo cáo mới nổi bật của SEC, trong khi trên thực tế, các quy tắc đó chỉ có hiệu lực vào tháng sau.

Nếu quy định này có hiệu lực, công ty sẽ phải báo cáo một sự cố mạng "nghiêm trọng" trong vòng bốn ngày kể từ ngày phát hiện sự cố. Các công ty và giám đốc điều hành an ninh mạng vẫn đang tranh luận về điều mà SEC coi là “quan trọng” và SEC có kế hoạch ban hành thêm hướng dẫn về thuật ngữ này.

Nhưng tại Aspen CyberForum tuần này, một số quan chức chính phủ đã xác nhận rằng các quy tắc không có nghĩa là một cuộc tấn công cần phải được báo cáo bốn ngày sau khi nó được phát hiện, mà chỉ khi cuộc tấn công được coi là có tác động đáng kể đến lợi nhuận của công ty.

Khi được hỏi liệu có cần phải có biểu mẫu hoặc MeridianLink để báo cáo vụ việc hay không, người phát ngôn của SEC đã từ chối bình luận.

Động thái trắng trợn này là chiến thuật tống tiền mới nhất được sử dụng bởi các băng nhóm ransomware, những kẻ tìm cách tống tiền nạn nhân của chúng bằng mọi cách cần thiết. Mùa hè này, một nhóm ransomware khác đe dọa sẽ báo cáo các công ty với các cơ quan quản lý châu Âu vì nghi ngờ vi phạm Quy định bảo vệ dữ liệu chung (luật bảo vệ dữ liệu và quyền riêng tư ở EU có hậu quả lớn hơn đáng kể so với ở Hoa Kỳ) nếu họ không trả tiền chuộc.

Jim Doggett, CISO của công ty an ninh mạng Semperis, nói với Recorded Future News rằng động thái này, tuy gây chú ý nhưng có thể khiến nhóm này trở thành mục tiêu của các cơ quan thực thi pháp luật Hoa Kỳ.

“Nếu họ muốn duy trì lợi nhuận, việc thu hút sự chú ý không cần thiết là không khôn ngoan,” ông nói.

Ilia Kolochenko, Giám đốc điều hành của công ty bảo mật ứng dụng ImmuniWeb, lưu ý rằng việc lạm dụng các quy định mới của SEC để gây thêm áp lực cho các công ty đại chúng là điều có thể đoán trước được.

Kolochenko, đồng thời là giáo sư trợ giảng về an ninh mạng và luật tại Đại học Công nghệ Capitol, cho biết: “Khi nạn nhân không tiết lộ các lỗ hổng trong thời hạn quy định của pháp luật, những kẻ tấn công ransomware có thể sẽ bắt đầu gửi khiếu nại lên các cơ quan quản lý khác của Hoa Kỳ và EU. Tuy nhiên, không phải tất cả các sự cố bảo mật đều là vi phạm dữ liệu và không phải tất cả các vi phạm dữ liệu đều là vi phạm dữ liệu phải báo cáo”.

"Do đó, các cơ quan quản lý và chính quyền nên xem xét kỹ lưỡng những báo cáo như vậy và thậm chí có thể thiết lập một quy định mới để bỏ qua các báo cáo không được chứng minh bằng bằng chứng đáng tin cậy, nếu không thì những khiếu nại cường điệu hoặc thậm chí sai trái sẽ khiến hệ thống của họ bị nhiễu loạn và làm tê liệt công việc của họ."