上市公司瞞報數(shù)據(jù)泄漏,遭勒索軟件組織“實名舉報”

近日,勒索軟件組織ALPHV(又稱BlackCat,前身是攻擊殖民地管道的DarkSide組織)向美國證券交易委員會(SEC)提交投訴,舉報其受害者——上市軟件公司MeridianLink未按規(guī)定披露數(shù)據(jù)泄漏事件。

640 (1).png

本文來自微信公眾號“GoUpSec”。

近日,勒索軟件組織ALPHV(又稱BlackCat,前身是攻擊殖民地管道的DarkSide組織)向美國證券交易委員會(SEC)提交投訴,舉報其受害者——上市軟件公司MeridianLink未按規(guī)定披露數(shù)據(jù)泄漏事件。

這是勒索軟件組織首次向監(jiān)管部門“實名舉報”其受害者的違規(guī)行為,可謂開了行業(yè)先河。

ALPHV聲稱在11月7日侵入了MeridianLink的網(wǎng)絡(luò)并竊取了公司數(shù)據(jù),但并未加密系統(tǒng)。并威脅后者在24小時不支付贖金就泄露所竊取的數(shù)據(jù)。

ALPHV表示,盡管MeridianLink似乎有意與其接觸進行贖金談判,但尚未收到公司的正式回應(yīng)。MeridianLink的拖延戰(zhàn)術(shù)激怒了ALPHV,后者憤然向SEC提交投訴,稱MeridianLink未按政策要求披露影響“客戶數(shù)據(jù)和運營信息”的網(wǎng)絡(luò)安全事件。

為了證明投訴行為的真實性,ALPHV在其網(wǎng)站上發(fā)布了他們在SEC投訴頁面上填寫表格的屏幕截圖:

640 (1).png

SEC的“四日”新規(guī)

由于美國機構(gòu)頻繁遭受網(wǎng)絡(luò)安全事件,今年7月份SEC頒布了安全事件報告規(guī)則,要求上市公司在確定網(wǎng)絡(luò)攻擊屬于重大事件后的四個工作日內(nèi)披露信息。

新規(guī)要求上市公司必須在報告文件中(特別是8-K表格)披露有關(guān)網(wǎng)絡(luò)攻擊的詳細信息(包括事件的性質(zhì)、范圍和時間),規(guī)模較小的公司可延期180天披露。

SEC要求公司披露的網(wǎng)絡(luò)安全事件詳細信息具體如下(在提交表格8-K時可用):

●發(fā)現(xiàn)日期和事件狀態(tài)(正在進行或已解決)。

●對事件性質(zhì)和范圍的簡要描述。

●未經(jīng)授權(quán)可能被泄露、更改、訪問或使用的任何數(shù)據(jù)。

●該事件對公司經(jīng)營的影響。

●有關(guān)公司正在進行或已完成的補救措施的信息。

然而,ALPHV可能沒有注意到,該新規(guī)的生效日期是2023年12月15日。

SEC新規(guī)讓CISO成為高危職業(yè)

MeridianLink對此事件回應(yīng)稱:在確認事件后,公司立即采取行動以控制威脅,并聘請了第三方專家進行調(diào)查。公司還在努力確定是否有消費者個人信息受到此次網(wǎng)絡(luò)攻擊的影響,并將在確認后通知受影響方。根據(jù)目前的調(diào)查,未發(fā)現(xiàn)未經(jīng)授權(quán)訪問其生產(chǎn)平臺的證據(jù),且此事件對業(yè)務(wù)造成的中斷影響很小。

那么問題來了,如果ALPHV聲稱的攻擊是事實,那么MeridianLink向SEC提交的報告就有瞞報事件的可能,而MeridianLink的CISO可能面臨觸犯法律的風(fēng)險。

根據(jù)SEC的新規(guī),如果企業(yè)瞞報網(wǎng)絡(luò)攻擊,而該企業(yè)的CISO看到SEC報告最終版本并意識到該文件誤導(dǎo)了SEC,那么該CISO就有責(zé)任向SEC檢舉揭發(fā),否則將面臨欺詐從犯的指控。

今年10月份,SEC對SolarWinds席信息安全官Timothy G.Brown提出指控,指控其在2020年Sunburst網(wǎng)絡(luò)攻擊期間和之前未披露“已知風(fēng)險”且未準(zhǔn)確表述該公司的網(wǎng)絡(luò)安全措施,從而誤導(dǎo)投資者。這是CISO首次因瞞報事件而被SEC直接指控,被業(yè)界看作是導(dǎo)致CISO成為高風(fēng)險職業(yè)的一個標(biāo)志性事件。

但令CISO進退維谷的是,雖然SEC有舉報人保護機制,但只有當(dāng)CISO的檢舉內(nèi)容屬實且公司確實存在欺詐(瞞報)行為時,舉報人保護機制才會啟動。如果CISO判斷有誤,就不會有任何保護措施,被舉報公司可用各種可用方法對CISO進行報復(fù)。

勒索軟件的“催收”和“增收”新策略

舉報MeridianLink的ALPHV勒索軟件組織以其持續(xù)不斷調(diào)整和完善攻擊技術(shù)和業(yè)務(wù)策略而著稱,是最“敏捷”的勒索軟件組織之一。

根據(jù)GRIT發(fā)布2023年勒索軟件報告,ALPHV是二季度第二活躍的勒索軟件組織,受害者數(shù)量比第一季度增加了50%,在2023年最活躍最多產(chǎn)的十大勒索軟件組織中排名第二,僅次于LockBit:

640 (1).png

雖然包括ALPHV等頭部勒索軟件組織在2023年開足馬力“收割”知名企業(yè),但贖金收入?yún)s呈下滑趨勢。根據(jù)勒索軟件事件響應(yīng)公司Coveware的一份報告,今年第二季度遭受勒索軟件攻擊的付費受害者數(shù)量“降至34%,創(chuàng)歷史新低。

“轉(zhuǎn)化率”和收入的暴跌迫使ALPHV這樣的勒索軟件組織不斷創(chuàng)新其“催收”和“增收”策略。例如,據(jù)惡意軟件研究小組VX-Underground透露,ALPHV今年七月份推出了其數(shù)據(jù)泄漏網(wǎng)站的API和Python爬蟲工具,幫助相關(guān)人員(例如新聞媒體和安全研究人員)快速獲取最新的受害者名單和信息(下圖):

640 (1).png

除了通過增加曝光量(甚至包括明網(wǎng)泄漏)外,一些勒索軟件組織開始采用“薄利多銷”的創(chuàng)收策略,即通過供應(yīng)鏈來入侵大量企業(yè)來提高贖金總收入。

例如,Clop勒索軟件通過其大規(guī)模的MOVEit漏洞利用竊取數(shù)據(jù),至少獲利7500萬美元。

向行業(yè)主管部門投訴也是勒索軟件組織向受害者施壓的“催收”策略之一。在ALPHV之前,曾有許多勒索軟件組織威脅受害者要向SEC報告數(shù)據(jù)泄露和數(shù)據(jù)盜竊事件,但ALPHV是迄今首次公開證實的案例。

過去,勒索軟件組織經(jīng)常通過聯(lián)系受害者的客戶來告知數(shù)據(jù)泄漏情況,有時還會直接電話恐嚇受害者。不久前這種恐嚇進一步升級,有勒索軟件組織甚至威脅要對受害者采取物理攻擊和傷害,這是RaaS流行導(dǎo)致勒索軟件攻擊技術(shù)門檻進一步降低后,勒索軟件“民主化”與黑社會活動產(chǎn)生交集的一種新的全球性趨勢。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論