Die Ransomware-Bande ALPHV hat Beschwerde bei der US-Börsenaufsichtsbehörde eingelegt. Eines ihrer Opfer soll einen Hack verschwiegen haben.
Bei dem Opfer des Ransomware-Angriffes handelt es sich um die Softwarefirma MeridianLink. ALPHV/Blackcat hackten deren Systeme laut eigener Angabe am 7. November und stahlen Firmendaten, allerdings ohne deren Systeme zu verschlüsseln. MeridianLink soll sich bei ALPHV zwar gemeldet haben, aber eine Lösegeldverhandlung kam offenbar noch nicht zustande.
Vielleicht aus mangelnder Aufmerksamkeit und daraus resultierender Frustration gingen die Ransomware-Gauner nun einen Schritt weiter. Dreist meldeten sie ihr Opfer bei der US-Börsenaufsichtsbehörde SEC, da MeridianLink die Vier-Tage-Regel verletzt haben soll. Innerhalb dieses Zeitraumes muss eine Firma einen Sicherheitsvorfall beim SEC melden. Laut ALPHV lag der Hack zum Zeitpunkt der Meldung bereits sieben Tage zurück.
Großzügigerweise gaben die Ransomware-Bandenmitglieder der Firma MeridianLink noch weitere 24 Stunden, bevor die erbeuteten Daten veröffentlicht werden sollen. In den Datensätzen befinden sich laut Angaben von ALPHV Kunden- sowie Betriebsdaten. Die im Juli diesen Jahres eingeführten neuen Regeln bezüglich Meldung von Cybersicherheitszwischenfällen beinhalten, dass betroffene Firmen Details über einen Cyberangriff beim SEC mitteilen müssen, wenn sie an der Börse sind.
Demnach müssen folgende Informationen offengelegt werden:
- Zeitpunkt und Status des Angriffs (laufend oder abgeschlossen)
- Eine kurze Beschreibung von Art und Ausmaß des Angriffs
- Daten, die kompromittiert, verändert, gelesen oder ohne Erlaubnis genutzt wurden
- Auswirkungen des Angriffs auf die Betriebsfähigkeit der Firma
- Informationen über laufende oder abgeschlossene Gegenmaßnahmen der Firma
Die oben genannten neuen Regeln der SEC treten allerdings erst am 15. Dezember 2023 in Kraft.
MeridianLinks Reaktion auf den Ransomware-Vorfall
MeridianLink bestätigten in einem Statement für BleepingComputer den Ransomware-Angriff. Weiter teilten sie mit, man habe sofort damit begonnen, die Gefahr einzudämmen und auch ein Team von externen Experten hinzugezogen, um den Fall zu untersuchen. Man sei noch damit beschäftigt herauszufinden, ob bei dem Ransomware-Angriff persönliche Kundendaten betroffen waren und werde die Betroffenen benachrichtigen, falls dem so sei.
Des Weiteren habe man zum aktuellen Zeitpunkt der Untersuchung keine unautorisierten Zugriffe auf Produktionssysteme festgestellt. Der Ransomware-Vorfall hatte nur geringfügige Betriebsunterbrechungen zur Folge, heißt es weiter.
Ransomware-Gangs haben in der Vergangenheit zwar des öfteren damit gedroht, ihre Opfer bei der SEC zu melden, allerdings könnte dieser Fall der erste öffentlich bekannt gewordene sein.