Atac cibernetic asupra MeridianLink
Compania de software financiar MeridianLink a confirmat că se confruntă cu un atac cibernetic după ce hackerii din spatele incidentului au luat măsuri extraordinare pentru a o presa să plătească o răscumpărare.
MeridianLink, care a raportat peste 76 de milioane de dolari în venituri în ultimul trimestru, furnizează instrumente băncilor, uniunilor de credit, instituțiilor de credit ipotecar și agențiilor de raportare pentru consumatori din Statele Unite.
Compania a fost adăugată pe site-ul de scurgeri al grupării de ransomware AlphV/Black Cat, presupusă a fi cu sediul în Rusia și implicată în mai multe atacuri, inclusiv MGM Resorts, despre care am precizat în articolele noastre anterioare.
MeridianLink a declarat că nu au identificat nicio dovadă de acces neautorizat la platformele noastre de producție, iar incidentul a cauzat o întrerupere minimă a activității de afaceri. În eventualitatea în care compania va constata că în acest incident au fost implicate informații personale ale consumatorilor, vor furniza notificări, conform cerințelor legale.
Tactica dublei șantajări: o listare pe site-ul de scurgeri de date și o plângere formală pentru încălcarea securității datelor
Grupul ransomware-ului BlackCat, cunoscut și sub numele de ALPHV, au listat MeridianLink, pe site-ul său de scurgeri de date folosit pentru a numi public și a jigni companiile pe care grupul pretinde că le-a compromis. Majoritatea grupurilor de ransomware au adoptat această tactică de dublă șantajare în ultimii ani pentru a forța mâna victimelor care nu cooperează, amenințând să vândă sau să elibereze datele pe care atacatorii au reușit să le fure.
De fapt, unele grupuri de infractori cibernetici nu se deranjează să implementeze malware de criptare a fișierelor uneori și merg direct la șantajul de scurgere a datelor. Se pare că acesta a fost cazul cu BlackCat și MeridianLink.net, care a raportat că a discutat cu atacatorii. Atacul cibernetic a avut loc în data de 7 noiembrie și a implicat doar exfiltrarea de date.
În data de 15 noiembrie, grupul a listat organizația pe blogul lor de scurgeri de date, dar a mers un pas mai departe: a depus o plângere la SEC (Comisiei americane pentru valori mobiliare și burse) pentru neîndeplinirea obligației de a divulga ceea ce grupul numește „o încălcare semnificativă care compromite datele clienților și informațiile operaționale.
Noile reguli SEC cer raportarea încălcărilor materiale
Noile reguli de raportare a incidentelor de securitate cibernetică ale SEC care vor intra în vigoare la 15 decembrie cer companiilor listate în SUA să raporteze incidentele de securitate cibernetică care afectează condiția financiară a companiei și operațiunile acesteia în termen de patru zile lucrătoare de la stabilirea faptului că un astfel de incident a avut loc și a avut un impact material.
Cu toate acestea, pot exista multe incertitudini între companii și executivi cu privire la ceea ce este sau nu este material. Noile reguli vor complica și mai mult rolul pe care CISO-urile îl pot avea în astfel de depuneri, deoarece acțiunile recente ale SEC demonstrează că aceștia ar putea fi făcuți responsabili pentru reprezentarea incorectă a poziției de securitate cibernetică a unei companii și acum a impactului unei încălcări a datelor.
Va fi interesant de văzut cum reacționează SEC la posibilitatea ca grupurile de ransomware să profite de regulile și facilitățile sale de plângere pentru șantajarea victimelor și dacă agenția va fi mai permisivă în ceea ce privește modul în care aplică noile cerințe de divulgare la început.
Acest lucru pune o presiune suplimentară asupra MeridianLink, o companie listată public, după ce pretinde că a spart rețeaua și a furat date necriptate. Această mișcare a luat industria prin surprindere și a ridicat întrebări cu privire la eficacitatea noilor reguli SEC în lupta împotriva criminalității cibernetice.
Strategii de negociere pentru atacurile de ransomware
Pe lângă analiza componentei financiare a atacurilor de ransomware, au foststrategii pe baza eșecurilor și succeselor în negocieri din cazurile de ransomware pe care le-au analizat. Ei oferă sfaturi cu privire la tactici de negociere de utilizat și pași inteligenți de incorporat în răspuns.
Mai jos regăsiți câteva recomandări de implementat înainte de a începe procesul de negociere:
- Nu deschideți email-ul de răscumpărare sau nu faceți click pe link;
- Investigați atacatorul pentru a înțelege cum grupul a gestionat răscumpărările în trecut;
Dacă decideți să plătiți răscumpărarea, se recomandă utilizarea următoarelor tactici de negociere:
- Fiți respectuoși: acesta este o tranzacție comercială, deci evitați să faceți amenințări și lăsați emoțiile în afara ei;
- Solicitați mai mult timp: adversarii sunt adesea dispuși să prelungească cronometrul dacă negocierile sunt în desfășurare;
- Oferiți să plătiți o sumă mică acum sau o sumă mai mare mai târziu: hackerii doresc să finalizeze rapid tranzacția și să treacă la următoarea țintă și uneori vor fi de acord să primească mai puțin dacă sunt plătiți mai repede;
- Convingeți atacatorul că nu puteți plăti suma întreagă: cazurile practice au demonstrat că tactica de a sublinia constant incapacitatea de a plăti răscumpărarea poate reduce prețul;
- Nu dezvăluiți dacă aveți sau nu asigurare cibernetică și nu stocați documente despre poliță pe servere la îndemână;
- Solicitați decriptarea unui fișier de test;
- Solicitați o dovadă a ștergerii fișierelor.
Cu toate că regulile SEC reprezintă un pas către transparență, incidentele MeridianLink și MGM dezvăluie un adevăr inconfortabil: respectarea regulilor singură nu este suficientă. Securitatea cibernetică este dinamică și necesită apărări robuste, întotdeauna active și strategii proactive. Acesta este un semnal de alarmă la nivelul întregii industrii. Deși șocante pentru mulți, rapoartele conform cărora BlackCat a turnat unul dintre victimele lor la SEC nu sunt surprinzătoare în economia ransomware-ului în continuă evoluție.