Em 7 de novembro, o grupo de ransomware ALPHV teve uma vez que fim a rede da empresa de serviços financeiros MeridianLink e, segundo o grupo, roubou arquivos.
Nenhuma criptografia estava envolvida, mas, afirma o grupo, a MeridianLink estava consciente de que o ataque havia realizado. Houve notícia entre os invasores e a empresa, mas nenhum resgate foi pago.
Até agora, isso parecerá muito semelhante a muitos ataques de ransomware atuais. No entanto, o que os criminosos de ransomware fizeram em seguida saiu do roteiro usual.
Numa tática inovadora, a ALPHV relatou o MeridianLink cotado publicamente à Percentagem de Valores Mobiliários dos EUA (SEC), com base no facto de a empresa não ter apresentado uma notificação à SEC sobre um incidente de segurança cibernética dentro do prazo exigido de quatro dias.
De consonância com sites de notícias que cobrem esta história, isso foi feito através da página de dicas, reclamações e referências da SEC, um sistema de denúncia de irregularidades que dá aos insiders um meio para denunciar supostas irregularidades.
Criminosos de roubo viraram denunciantes?
Normalmente não se pensaria em criminosos de roubo qualificados uma vez que denunciantes, mas neste incidente eles se nomearam para essa função. Porquê ALPHV escreveu em sua “reclamação” à SEC:
“Queremos invocar a sua atenção para uma questão preocupante relativa à conformidade da MeridianLink com as regras de divulgação de incidentes de segurança cibernética recentemente adotadas.
Chegou ao nosso conhecimento que a MeridianLink, à luz de uma violação significativa que comprometeu os dados do cliente e as informações operacionais, não apresentou a divulgação necessária sob o Item 1.05 do Formulário 8-K dentro dos quatro dias úteis estipulados, conforme exigido pela novidade SEC regras.”
Observe a frase “conforme exigido pelas novas regras da SEC”. Claramente, estes criminosos notaram a existência das regras e pensam que reconhecem um erro de notícia quando o vêem.
Na verdade, as regras da SEC mencionadas nesta enunciação não entrarão em vigor até 18 de dezembro, depois o qual todas as empresas de capital crédulo nos Estados Unidos, exceto as menores, serão de indumento obrigadas a relatar incidentes “materiais” de segurança cibernética à SEC dentro de quatro dias.
Publicidade Gratuita
Mesmo supondo que a alegado do grupo se confirme (a MeridianLink disse desde portanto que não encontrou “nenhuma evidência de chegada não autorizado à nossa plataforma de produção”, caso em que não havia zero para relatar), é improvável que a empresa enfrente quaisquer sanções.
A SEC publicou o seu projecto final das regras em Julho, o que sem incerteza causou qualquer pânico nos conselhos de governo das empresas afectadas. Mas as organizações ainda não digeriram completamente o que as regras significam em diferentes cenários, até porque definir o que é material e, portanto, reportável nem sempre será fácil de definir.
Se os grupos de ransomware acharem que as regras da SEC podem ser exploradas para pressionar as vítimas, provavelmente ficarão desapontados. Primeiro, é difícil imaginar que uma empresa pagaria um resgate para manter um incidente relatável em sigilo quando as possíveis penalidades da SEC por isso excedem o resgate provável.
Em segundo lugar, mesmo as empresas dispostas a remunerar dificilmente o fariam no prazo de quatro dias. Poucas negociações de resgate são conduzidas por grandes empresas com tanta rapidez. Ironicamente, longe de funcionar uma vez que uma novidade forma inteligente de persuadir as vítimas a remunerar, a tática de ameaçar denunciar uma empresa à SEC poderia simplesmente proporcionar ainda mais incentivo para executar as regras. Se ao menos todos os novos regimes regulamentares pudessem esperar uma publicidade tão valiosa e apelativa.
