勒索软件组织的“神操作”:向SEC投诉受害者未及时披露数据泄露迫使其交赎金
勒索软件组织的“神操作”:向SEC投诉受害者未及时披露数据泄露迫使其交赎金本周,该公司被列入AlphV/BlackCat的泄密网站,据信,该勒索软件团伙总部位于俄罗斯,曾参与多起肆无忌惮的攻击,包括攻击美高梅国际酒店集团(MGMResorts)。MeridianLink发言人向RecordedFutureNews证实,他们最近发现了一起网络安全事件。发言人说:"一经发现,我们立即采取行动遏制威胁,并聘请第三方专家团队对事件进行调查。根据迄今为止的调查,我们没有发现未经授权访问我们生产平台的证据,该事件造成的业务中断也微乎其微。如果我们确定此次事件涉及任何消费者个人信息,我们将按照法律规定发出通知。"这次攻击引起了安全研究人员的兴趣,因为勒索软件组织AlphV在其“官网”上声称,他们已经向美国证券交易委员会(SEC)报告了MeridianLink公司没有向监管机构通报这一事件,他们声称这一事件发生在一周前,受害方没有尽到披露义务。该勒索软件团伙后来分享了一张它发送给美国证券交易委员会的表格照片,并错误地声称MeridianLink违反了美国证券交易委员会备受关注的新报告规则,而事实上这些规则要到下个月才生效。如果该规则生效,该公司需要在发现"重大"网络事件后的四天内报告该事件。公司和网络安全高管仍在争论证交会认为什么是"重大",证交会计划就该术语发布更多指南。但在本周举行的阿斯彭网络论坛(AspenCyberForum)上,几位政府官员证实,这些规则并不意味着需要在发现攻击事件四天后才上报,而是只有在认为攻击事件对公司底线产生重大影响后才需要上报。当被问及该表格或MeridianLink是否需要报告该事件时,美国证券交易委员会发言人拒绝发表评论。这一厚颜无耻的举动是勒索软件团伙使用的最新勒索手段,他们试图使用一切必要手段从受害者身上勒索赎金。今年夏天,另一个勒索软件团伙威胁说,如果公司不支付赎金,他们就会向欧洲监管机构举报公司涉嫌违反《通用数据保护条例》(欧盟的隐私法和数据保护法律造成的后果相比美国明显更大)。网络安全公司Semperis的CISO吉姆-多格特(JimDoggett)告诉《未来记录新闻》(RecordedFutureNews),这一举动虽然令人瞠目,但可能会让该团伙成为美国执法机构的目标。他说:"如果他们想保持盈利,吸引不必要的关注并不明智。"应用程序安全公司ImmuniWeb的首席执行官IliaKolochenko指出,可以预见,滥用美国证券交易委员会的新规定给上市公司施加额外压力是可以预见的。"当受害者未能在法律规定的时限内披露漏洞时,勒索软件行为者很可能会开始向其他美国和欧盟监管机构投诉。尽管如此,并不是所有的安全事件都是数据泄露,也不是所有的数据泄露都是可报告的数据泄露,"科洛琴科说,他同时也是国会科技大学网络安全和法律的兼职教授。"因此,监管机构和主管部门应仔细审查此类报告,甚至可能制定一项新规则,对未经可信证据证实的报告不予理睬,否则,夸大甚至完全虚假的投诉将使他们的系统充斥噪音,使他们的工作陷入瘫痪。"...PC版:https://www.cnbeta.com.tw/articles/soft/1397747.htm手机版:https://m.cnbeta.com.tw/view/1397747.htm
