ALPHV/BlackCat fidye yazılımı operasyonu, ABD Menkul Kıymetler ve Borsa Komisyonu’na, kurban olduğu iddia edilen bir kişi hakkında, bir siber saldırının ifşa edilmesine ilişkin dört gün kuralına uymadığı gerekçesiyle şikayette bulunarak şantajı yeni bir düzeye taşıdı.
Bugün erken saatlerde tehdit aktörü, 24 saat içinde fidye ödenmediği takdirde çalındığı iddia edilen verileri sızdırma tehdidiyle yazılım şirketi MeridianLink’i veri sızıntısı listesinde listeledi.
MeridianLink, bankalar, kredi birlikleri ve ipotek kredisi veren kuruluşlar gibi finansal kuruluşlara dijital çözümler sunan halka açık bir şirkettir.
Bilgisayar korsanları SEC’e ispiyonluyor
DataBreaches.net’e göre ALPHV fidye yazılımı çetesi, 7 Kasım’da MeridianLink’in ağına sızdıklarını ve sistemleri şifrelemeden şirket verilerini çaldıklarını söyledi.
Fidye yazılımı aktörü, çalındığı iddia edilen verilerin sızdırılmaması karşılığında bir ödeme konusunda pazarlık yapmak için “MeridianLink’in iletişime geçtiği anlaşılıyor ancak henüz onlardan bir mesaj almadık” dedi.
Şirketin yanıt vermediği iddiası, bilgisayar korsanlarının ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) MeridianLink’in “müşteri verilerini ve operasyonel bilgileri” etkileyen bir siber güvenlik olayını açıklamaması konusunda şikayette bulunarak daha fazla baskı uygulamaya yöneltti.
ALPHV, şikayetlerinin gerçek olduğunu göstermek için SEC’in İpuçları, Şikayetler ve Yönlendirmeler sayfasında doldurdukları formun ekran görüntüsünü kendi sitesinde yayınladı.
Saldırgan, kendi deyimiyle SEC’e MeridianLink’in “önemli bir ihlale” maruz kaldığını ve bunu Madde 1.05 kapsamında Form 8-K’nın gerektirdiği şekilde açıklamadığını söyledi.
ABD kuruluşlarında yaşanan güvenlik olaylarının ardından SEC, halka açık şirketlerin maddi etkisi olan, yani yatırım kararlarını etkileyen siber saldırıları raporlamasını gerektiren yeni kuralları kabul etti.
Yeni kurala göre, siber güvenlik vakası raporlaması, “kayıt ettirenin bir siber güvenlik olayının önemli olduğunu tespit etmesinden dört iş günü sonra” yapılacak.
Ancak Reuters, Ekim ayının başında yaptığı açıklamada, SEC’in yeni siber güvenlik kurallarının 15 Aralık 2023’te yürürlüğe gireceğini açıkladı.
ALPHV ayrıca MeridianLink’e yönelik şikayete yönelik SEC’den aldıkları yanıtı da sitelerinde sunarak, başvurunun alındığını gösterdi.
MeridianLink siber saldırıyı doğruladı
MeridianLink, BleepingComputer’a yaptığı açıklamada, olayı tespit ettikten sonra tehdidi kontrol altına almak için hemen harekete geçtiğini ve soruşturma için üçüncü taraf uzmanlardan oluşan bir ekiple görevlendirildiğini söyledi.
Şirket, herhangi bir tüketici kişisel bilgisinin siber saldırıdan etkilenip etkilenmediğini belirlemek için hala çalıştığını ve etkilenen tarafları bilgilendireceğini ekledi.
“Bugüne kadar yaptığımız araştırmalara dayanarak, üretim platformlarımıza yetkisiz erişime dair hiçbir kanıt tespit etmedik ve olay, minimum düzeyde iş kesintisine neden oldu.” – MeridianLink
Pek çok fidye yazılımı ve gasp çetesi, ihlalleri ve veri hırsızlığını SEC’e bildirmekle tehdit etse de bu, bunu yaptıklarına dair ilk kamu onayı olabilir.
Daha önce fidye yazılımı aktörleri, müşterilerle iletişime geçerek onlara izinsiz girişi bildirerek kurbanlar üzerinde baskı uyguluyordu. Bazen mağdurla doğrudan telefonla iletişime geçerek gözünü korkutmaya da çalışıyorlardı.