La banda de ransomware BlackCat ha comenzado a abusar de las próximas reglas de notificación de incidentes cibernéticos de la Comisión de Bolsa y Valores de EE. UU. (SEC) para presionar a las organizaciones que se niegan a negociar pagos de rescate. Los atacantes ya presentaron una denuncia ante la SEC contra una víctima, en una medida que probablemente se convertirá en una práctica común una vez que las nuevas regulaciones entren en vigor a mediados de diciembre.
El miércoles, los ciberdelincuentes detrás del ransomware BlackCat, también conocido como ALPHV, incluyeron a MeridianLink, un proveedor de soluciones de préstamos digitales para instituciones financieras, en su sitio web de filtración de datos que se utiliza para nombrar públicamente y avergonzar a las empresas que el grupo supuestamente comprometió. La mayoría de las bandas de ransomware han adoptado esta táctica de doble extorsión en los últimos años para obligar a las víctimas que no cooperan amenazando con vender o divulgar datos que los atacantes lograron robar.
De hecho, algunos grupos de ciberdelincuentes ni siquiera se molestan en implementar malware de cifrado de archivos a veces y van directamente al chantaje de fuga de datos. Este parece haber sido el caso de BlackCat y MeridianLink, según DataBreaches.net, quien informó haber hablado con los atacantes. Según se informa, la violación ocurrió el 7 de noviembre y solo implicó la filtración de datos.
Después de un contacto inicial por parte de alguien que representaba a la empresa, las comunicaciones quedaron en silencio, dijeron los atacantes. Como resultado, el 15 de noviembre el grupo incluyó a la organización en su blog sobre filtración de datos, pero fue un paso más allá: presentó una queja ante la SEC por no revelar lo que el grupo llama “una violación significativa que compromete los datos de los clientes y la información operativa”. utilizando el Formulario 8-K, bajo el Punto 1.05.
Las nuevas reglas de la SEC exigen informar sobre violaciones importantes
Las nuevas normas de informes de ciberseguridad de la SEC que entrarán en vigor el 15 de diciembre exigen que las empresas que cotizan en EE. UU. revelen incidentes de ciberseguridad que afecten la situación financiera de la empresa y sus operaciones dentro de los cuatro días hábiles posteriores a la determinación de que dicho incidente ocurrió y tuvo un impacto material. “Ya sea que una empresa pierda una fábrica en un incendio, o millones de archivos en un incidente de ciberseguridad, puede ser importante para los inversores”, dijo el presidente de la SEC, Gary Gensler, en julio, cuando la Comisión adoptó las nuevas reglas.
Sin embargo, puede haber mucha incertidumbre entre las empresas y los ejecutivos sobre qué es material o no. Las nuevas reglas complicarán aún más el papel que los CISO pueden tener en tales presentaciones, ya que las acciones recientes de la SEC demuestran que podrían ser considerados responsables por tergiversar la postura de ciberseguridad de una empresa y ahora el impacto de una violación de datos.
El mes pasado, la SEC presentó cargos contra SolarWinds y su CISO, Timothy G. Brown, por engañar a los inversores al no revelar “riesgos conocidos” y no representar con precisión las medidas de ciberseguridad de la empresa durante y antes del ciberataque de 2020 que afectó a miles de clientes en agencias gubernamentales. y empresas a nivel global.
Será interesante ver cómo reacciona la SEC ante la posibilidad de que bandas de ransomware aprovechen sus reglas y su mecanismo de quejas para chantajear a las víctimas y si la agencia será más indulgente con la forma en que hace cumplir los nuevos requisitos de divulgación al principio.
“Esto ejerce una presión adicional sobre MeridianLink que cotiza en bolsa después de afirmar haber violado su red y robado datos no cifrados”, le dice a CSO por correo electrónico Ferhat Dikbiyik, jefe de investigación de la firma de gestión de riesgos cibernéticos Black Kite. “Esta medida ha tomado por sorpresa a la industria y ha planteado dudas sobre la eficacia de las nuevas normas de la SEC en la lucha contra el ciberdelito. También plantea la pregunta: ¿ALPHV tiene afiliados dentro de los EE. UU.?
Nueva táctica de extorsión cibernética es una llamada de atención
“Aunque las reglas de la SEC son un paso hacia la transparencia, los incidentes de MeridianLink y MGM revelan una verdad incómoda: el cumplimiento por sí solo no es suficiente”, dijo Dikbiyik. “La ciberseguridad es dinámica y requiere defensas sólidas y siempre activas y estrategias proactivas. Esta es una llamada de atención para toda la industria”.
“Aunque es impactante para muchos, los informes de que BlackCat delató a una de sus víctimas ante la SEC no es sorprendente en la economía del ransomware en constante evolución”, le dice a CSO Jim Doggett, CISO de la firma de ciberseguridad Semperis. “Algunos argumentarán que la medida de BlackCat es, en el mejor de los casos, oportunista y que están motivados únicamente por la codicia para obligar a las víctimas a pagar pagos más rápidos. Otros dirán que esta medida agresiva podría dejar al grupo en la mira de las agencias policiales estadounidenses. Al fin y al cabo, las bandas de ransomware son organizaciones criminales y su único motivo son las ganancias”.
