Gözlemcilerin zaten öngörülebilir olarak adlandırdığı bir gelişmeyle, ALPHV/BlackCat fidye yazılımı karteli, kurbanlara işbirliği yapmaları için baskı uygulamak ve bunları düzenleyici makamlara bildirmek için kullanılan yöntemlerden oluşan taktik kitabına yeni bir taktik eklemiş gibi görünüyor.
Söz konusu dava, daha küçük finansal hizmet kuruluşları için bulut yazılımı konusunda uzmanlaşmış ve ABD genelinde bankalara, kredi birliklerine ve ipotek kredisi veren kuruluşlara hizmet veren Kaliforniya merkezli bir tedarikçi olan MeridianLink’e odaklanıyor.
Konuyla ilgili gerçekleri ilk doğrulayan DataBreaches.net’e göre BlackCat, 7 Kasım’da MeridianLink’e saldırdı ve hiçbir materyali şifrelememesine rağmen verileri çaldı.
BlackCat temsilcisi, web sitesinin operatörleriyle yaptığı görüşmelerde herhangi bir müzakere yapılmadığını ve ardından mağdur hakkında Amerika Birleşik Devletleri Menkul Kıymetler ve Borsa Komisyonu’na (SEC) şikayette bulunduğunu iddia etti.
Çete üyesi, MeridianLink’in kamuya açık başvurularında veya mali tablolarında önemli bir yanlış beyan veya ihmal yaptığını ya da ihlali tespit ettikten sonraki dört gün içinde SEC’e bilgi vermemesi nedeniyle dosyalamada başarısız olduğunu iddia eden sunumun ekran görüntülerini sağladı. malzeme.
“MeridianLink’in yakın zamanda kabul edilen siber güvenlik kurallarına uyumuyla ilgili endişe verici bir konuya dikkatinizi çekmek istiyoruz. [sic] çetenin DataBreaches.net tarafından paylaşılan şikayetinde “olay açıklama kuralları” yazıyor.
“MeridianLink’in, müşteri verilerini ve operasyonel bilgileri tehlikeye sokan önemli bir ihlal ışığında, yeni yönetmeliğin zorunlu kıldığı şekilde öngörülen dört iş günü içinde Form 8-K Madde 1.05 kapsamında gerekli açıklamayı yapmadığı dikkatimizi çekti. SEC kuralları.”
Bu, yürürlüğe girme sürecinde olan yeni bir gerekliliktir, ancak bu gerekliliğe uyum aslında Aralık ortasına kadar başlamayacaktır, dolayısıyla SEC’in bu noktada herhangi bir soruşturma başlatıp başlatmayacağı belirsizdir.
Siber saldırılara karşı şeffaflığı ve hesap verebilirliği teşvik etmek için tasarlanan kural, güvenlik camiasını böldü çünkü çoğu kişi bu fikri prensipte desteklerken, “maddi” ihlalin ne olduğu kavramı oldukça belirsiz. Diğerleri bunun saldırganlara avantaj sağlayabileceğine inanıyor.
ImmuniWeb’in baş mimarı ve Maryland’deki Capitol Teknoloji Üniversitesi’nde siber güvenlik ve siber hukuk yardımcı profesörü Ilia Kolochenko şu yorumu yaptı: “Yeni SEC kurallarının halka açık şirketler üzerinde ek baskı oluşturmak için kötüye kullanılması öngörülebilirdi. Dahası, fidye yazılımı aktörleri, kurbanların yasaların öngördüğü süre içinde bir ihlali açıklamaması durumunda muhtemelen diğer ABD ve AB düzenleyici kurumlarına şikayette bulunmaya başlayacak.
E-postayla gönderilen yorumlarda Kolochenko, Computer Weekly’ye şunları söyledi: “Bununla birlikte, tüm güvenlik olaylarının veri ihlali olmadığını ve tüm veri ihlallerinin raporlanabilir veri ihlalleri olmadığını söyledi. Bu nedenle, düzenleyici kurumların ve yetkililerin bu tür raporları dikkatle incelemesi ve hatta muhtemelen güvenilir delillerle desteklenmeyen raporların dikkate alınmaması yönünde yeni bir kural oluşturması gerekir; aksi takdirde abartılı, hatta tamamen asılsız şikayetler sistemlerini gürültüye boğacak ve işlerini felce uğratacaktır.
Şöyle ekledi: “Veri ihlali mağdurları, kurumsal hukukçuları ve siber güvenlik konusunda uzmanlaşmış harici hukuk firmalarını DFIR planlarının oluşturulmasına, test edilmesine, yönetilmesine ve sürekli iyileştirilmesine katılmaya davet ederek dijital adli tıp ve olay müdahale (DFIR) stratejilerini acilen gözden geçirmeyi düşünmelidir. .
“Pek çok büyük kuruluşta hâlâ tüm süreci yöneten yalnızca teknik kişiler var ve bu durum, sonuçta CISO’lara yönelik cezai kovuşturma ve tüm kuruluş için geniş yelpazede yasal sonuçlar doğurması gibi istenmeyen olayları tetikliyor. Bir veri ihlaline karşı şeffaf, iyi düşünülmüş ve zamanında müdahale milyonları kurtarabilir.”
MeridianLink yalnızca bir siber güvenlik olayının kurbanı olduğunu doğrulamak için konuştu. Açıklamada şu ifadelere yer verildi: “Keşfedildiğinde, tehdidi kontrol altına almak için hemen harekete geçtik ve olayı araştırması için üçüncü taraf uzmanlardan oluşan bir ekip görevlendirdik.
“Bugüne kadar yaptığımız araştırmalara dayanarak, üretim platformlarımıza yetkisiz erişime dair hiçbir kanıt tespit etmedik ve olay, minimum düzeyde iş kesintisine neden oldu.
“Bu olaya herhangi bir tüketici kişisel bilgisinin dahil olduğunu tespit edersek yasaların gerektirdiği şekilde bildirimde bulunacağız. Soruşturmamız devam ettiği için şu anda sunabileceğimiz daha fazla ayrıntı yok.”