金融軟件公司MeridianLink證實,該公司正在處理一起網絡攻擊事件,事件背後的黑客采取“非常措施”以迫使該公司支付贖金。MeridianLink上季度收入超過7600萬美元,為美國的銀行、信用社、抵押貸款機構和消費者報告機構提供工具。
本周,該公司被列入 AlphV/Black Cat 的泄密網站,據信,該勒索軟件團夥總部位於俄羅斯,曾參與多起肆無忌憚的攻擊,包括攻擊美高梅國際酒店集團(MGM Resorts)。
MeridianLink 發言人向 Recorded Future News 證實,他們最近發現一起網絡安全事件。
發言人說:"一經發現,我們立即采取行動遏制威脅,並聘請第三方專傢團隊對事件進行調查。根據迄今為止的調查,我們沒有發現未經授權訪問我們生產平臺的證據,該事件造成的業務中斷也微乎其微。如果我們確定此次事件涉及任何消費者個人信息,我們將按照法律規定發出通知。"
這次攻擊引起安全研究人員的興趣,因為勒索軟件組織AlphV在其“官網”上聲稱,他們已經向美國證券交易委員會(SEC)報告MeridianLink公司沒有向監管機構通報這一事件,他們聲稱這一事件發生在一周前,受害方沒有盡到披露義務。
該勒索軟件團夥後來分享一張它發送給美國證券交易委員會的表格照片,並錯誤地聲稱 MeridianLink 違反美國證券交易委員會備受關註的新報告規則,而事實上這些規則要到下個月才生效。
如果該規則生效,該公司需要在發現"重大"網絡事件後的四天內報告該事件。公司和網絡安全高管仍在爭論證交會認為什麼是"重大",證交會計劃就該術語發佈更多指南。
但在本周舉行的阿斯彭網絡論壇(Aspen Cyber Forum)上,幾位政府官員證實,這些規則並不意味著需要在發現攻擊事件四天後才上報,而是隻有在認為攻擊事件對公司底線產生重大影響後才需要上報。
當被問及該表格或 MeridianLink 是否需要報告該事件時,美國證券交易委員會發言人拒絕發表評論。
這一厚顏無恥的舉動是勒索軟件團夥使用的最新勒索手段,他們試圖使用一切必要手段從受害者身上勒索贖金。今年夏天,另一個勒索軟件團夥威脅說,如果公司不支付贖金,他們就會向歐洲監管機構舉報公司涉嫌違反《通用數據保護條例》(歐盟的隱私法和數據保護法律造成的後果相比美國明顯更大)。
網絡安全公司 Semperis 的 CISO 吉姆-多格特(Jim Doggett)告訴《未來記錄新聞》(Recorded Future News),這一舉動雖然令人瞠目,但可能會讓該團夥成為美國執法機構的目標。
他說:"如果他們想保持盈利,吸引不必要的關註並不明智。"
應用程序安全公司 ImmuniWeb 的首席執行官 Ilia Kolochenko 指出,可以預見,濫用美國證券交易委員會的新規定給上市公司施加額外壓力是可以預見的。
"當受害者未能在法律規定的時限內披露漏洞時,勒索軟件行為者很可能會開始向其他美國和歐盟監管機構投訴。盡管如此,並不是所有的安全事件都是數據泄露,也不是所有的數據泄露都是可報告的數據泄露,"科洛琴科說,他同時也是國會科技大學網絡安全和法律的兼職教授。
"因此,監管機構和主管部門應仔細審查此類報告,甚至可能制定一項新規則,對未經可信證據證實的報告不予理睬,否則,誇大甚至完全虛假的投訴將使他們的系統充斥噪音,使他們的工作陷入癱瘓。"