Getty Images
L’un des groupes de ransomwares les plus actifs au monde a adopté une tactique inhabituelle, voire sans précédent, pour faire pression sur l’une de ses victimes afin qu’elle paie : signaler la victime à la Securities and Exchange Commission des États-Unis.
Cette tactique de pression a été révélée dans un article publié mercredi sur le site dark web géré par AlphV, un syndicat criminel de ransomware en activité depuis deux ans. Après avoir d’abord affirmé avoir violé le réseau de la société de prêt numérique cotée en bourse MeridianLink, les responsables d’AlphV ont publié une capture d’écran d’une plainte qu’ils ont déclaré avoir déposée auprès de la SEC via le site Web de l’agence. Sous un règle récemment adoptée qui entrera en vigueur le mois prochain, les sociétés cotées en bourse doivent déposer une déclaration auprès de la SEC dans les quatre jours suivant la connaissance d’un incident de sécurité ayant eu un impact « matériel » sur leur activité.
“Nous souhaitons attirer votre attention sur un problème préoccupant concernant la conformité de MeridianLink aux règles de divulgation des incidents de cybersécurité récemment adoptées”, ont écrit les responsables d’AlphV dans la plainte. « Il a été porté à notre attention que MeridianLink, à la lumière d’une violation importante compromettant les données clients et les informations opérationnelles, n’a pas réussi à déposer la divulgation requise au titre de l’article 1.05 du formulaire 8-K dans les quatre jours ouvrables stipulés, comme l’exige le nouveau Règles de la SEC.
La catégorie de violation sélectionnée dans le rapport en ligne était « Inexactitude ou omission importante dans les documents déposés ou les états financiers d’une entreprise ou défaut de déclaration ».
La publication sur le dark web de mercredi comprenait également ce qui semblait être une réponse automatique reçue de la SEC accusant réception de la plainte.
Comme indiqué, la règle n’est pas encore entrée en vigueur, donc même si la violation répond à la définition juridique d’un événement important, il est peu probable que MeridianLink soit en violation. Cela dit, AlphV capitalise probablement sur l’inquiétude suscitée à l’échelle du secteur par la récente décision de la SEC. décision de poursuivre le responsable de la sécurité de l’information de SolarWinds. La SEC a allégué que le dirigeant de SolarWinds avait induit les investisseurs en erreur sur les pratiques de cybersécurité de l’entreprise avant une enquête. Cyberattaque de 2020 par des pirates informatiques russes qui ont ensuite infecté 18 000 clients de SolarWinds avec des logiciels malveillants.
Les responsables de MeridianLink ont refusé une demande d’entretien ou de réponse à des questions demandant si les données des clients ont été violées lors d’une intrusion dans le réseau ou si une attaque de sécurité pouvant être considérée comme importante a eu lieu. Au lieu de cela, la société a publié une déclaration confirmant que les responsables avaient identifié un « incident de cybersécurité » et a ajouté :
Dès notre découverte, nous avons agi immédiatement pour contenir la menace et engagé une équipe d’experts tiers pour enquêter sur l’incident. Sur la base de notre enquête à ce jour, nous n’avons identifié aucune preuve d’accès non autorisé à nos plateformes de production, et l’incident a provoqué une interruption minime de nos activités. Si nous déterminons que des informations personnelles de consommateurs ont été impliquées dans cet incident, nous vous enverrons des notifications, comme l’exige la loi.
Brett Callow, analyste en sécurité chez Emsisoft, a noté qu’un groupe de ransomwares connu sous le nom de Maze avait déjà averti les victimes qu’il « reste en communication avec les principaux régulateurs de valeurs mobilières et financiers et les accusera de toutes les fuites et violations de données si l’accord n’est pas conclu ». .»
“Je ne suis pas sûr qu’ils l’aient jamais fait”, a déclaré Callow à Ars. “Les gangs ont également menacé de porter plainte contre le RGPD et, IIRC, l’un d’entre eux a peut-être donné suite à cela.” Il a déclaré qu’il n’était au courant d’aucun groupe ayant déposé une plainte auprès de la SEC. RGPD est l’abréviation de Règlement général sur la protection des données, une loi de l’Union européenne accordant aux individus de larges protections de la vie privée.
AlphV est apparu pour la première fois en novembre 2021 et se distingue par son utilisation d’un ransomware, nommé BlackCat, développé dans le langage de script Rust. Le groupe cible à la fois les environnements Windows et Linux.
« En avril 2023, ALPHV est devenu l’un des groupes de ransomwares les plus prolifiques dans le paysage actuel des menaces, derrière le groupe de ransomwares Lockbit en termes d’activité observée », a déclaré Chris Lucas, analyste géopolitique et cybersécurité. écrit en mai. « Etant principalement un groupe basé en Russie, l’ALPHV ne ciblera probablement pas les organisations basées en Fédération de Russie ou dans le reste de la Communauté des États indépendants (CEI) qui composent l’ex-Union soviétique. »
Le groupe était déjà connu pour sa pratique rare consistant à menacer de lancer des attaques par déni de service distribué sur les cibles qu’il avait déjà compromises dans le but d’exercer une pression supplémentaire pour qu’elles paient.
Dans les échanges de jeudi, Actions MeridianLink a chuté de 0,2 pour cent, ou 4 cents, à 18,51 $.