News

Grupo de ransomware reclama à SEC por ataque não reportado pela empresa visada

Os cibercriminosos do ALPHV/BlackCat registaram uma queixa na SEC contra a MeridianLink, uma empresa visada pelo grupo, por não ter reportado atempadamente a violação de dados

19/11/2023

Grupo de ransomware reclama à SEC por ataque não reportado pela empresa visada

A operação de ransomware ALPHV/BlackCat registou uma queixa na Securities and Exchange Commission (SEC) dos Estados Unidos contra a MeridianLink, uma das empresas que alegadamente visou, pelo não cumprimento da regra de quatro dias para a divulgação de um ciberataque.

O grupo de ransomware listou a MeridianLink, empresa de software, no seu data leak, ameaçando-a de que divulgaria os seus dados alegadamente exfiltrados se não fosse feito o pagamento do resgate em 24 horas.

De acordo com DataBreaches.net, os cibercriminosos do ALPHV afirmaram que a violação da rede da MeridianLink teve lugar no dia 7 de novembro, onde procederam à exfiltração dos dados da empresa sem criptografar os sistemas.

“Parece que A MeridianLink entrou em contato, mas ainda não recebemos uma mensagem”, disse o grupo de ransomware, a propósito da negociação do pagamento em troca da não divulgação dos dados.

Perante a alegada não-resposta, os cibercriminosos reforçaram a pressão através de uma reclamação na SEC contra a MeridianLink pela não divulgação do ataque que afetou “dados de clientes e informações operacionais”. O ALPHV publicou ainda um screenshot do formulário preenchido na página da SEC para comprovar que a reclamação era real.

O grupo de ransomware comunicou à SEC que a empresa foi alvo de uma “violação significativa” e não a divulgou conforme exigido no Formulário 8-K, no Item 1.05. Esta nova regra foi recentemente adotada pela SEC no contexto das crescentes ciberameaças nos Estados Unidos.

As novas regras exigem que as empresas de capital aberto reportem os ciberataques que tenham um impacto material, ou seja, que influenciem as decisões de investimento. A notificação “deve ser entregue quatro dias úteis após o registante determinar que o incidente de cibersegurança é material”, segundo as normas da comissão.

No entanto, de acordo com a Reuters, as novas regras de cibersegurança da SEC deverão entrar em vigor em 15 de dezembro.

“Com base na nossa investigação até ao momento, não identificámos nenhuma evidência de acesso não autorizado às nossas plataformas de produção e o incidente causou interrupção mínima dos negócios”, referiu a MeridianLink em comunicado


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.