勒索软件团伙为了让受害者掏钱,居然直接报告给监管部门
网络安全这个领域无奇不有。据报道,名为AlphV/BlackCat的勒索软件团伙声称攻入了金融科技平台 MeridianLink 的系统,并已经向监管部门即美国证券交易委员会(SEC)投诉 MeridianLink 隐瞒不报[1-2]。
注意:主动向监管部门报告的是勒索软件团伙,而不是受害者。
笔者:国际认证信息系统审计师、软考系统分析师
这事情有个外因:按即将在2023年12月生效的美国证券交易委员会的新规定,任何上市公司在发现遭受到黑客攻击形成重大影响(material impact)的网络安全事件后,应该在4天内向SEC提交披露报告。
但是,勒索软件团伙尚未等到新规生效,就已经把攻击行为主动揭露,还发布了他们在 SEC 网站上提交投诉的填单截图。
MeridianLink 方面表示,勒索软件攻击事件属实,但只是造成轻微的(minimal)业务中断。目前已经聘请了外部团队进行事件调查。如果能确认攻击事件导致消费者个人信息泄露,其将会按新规要求进行报告。
意思就是黑客攻击事件的严重性未达到需要披露的程度。
事情的滑稽在于,勒索软件组织方面用义正言辞的口吻(“We want to bring to your attention a concerning issue”)声称,由于 MeridianLink 在受到攻击之后超过了4天仍没有履行报告攻击事件的业务,所以我们将此不合规的行径公之于众。
看不懂?其实勒索软件组织的目的很简单:为了迫使(下一个)受害者更爽快地掏出赎金。(现在这一个可能确实影响轻微,估计应对措施做得很足,但下一个没做准备的就别犹豫了,掏钱消灾吧。)
真是兵不厌诈。
这种做法,之前也曾有其他勒索软件组织比如Maze,对受害者声称,如果未能达成协议,会把数据泄露情况和违规情况向监管部门报告。
不过这次AlphV“来真的”,毫无疑问,这种做法的确会对遭受网络攻击的企业组织构成新的压力。
本来,网络安全相关的监管越严,企业的合规压力就越大。正确应对合规压力应该是严格建立网络安全管理体系,不留死角地执行网络安全日常工作,以合规审计证实已经履职尽责。但可惜并不是每个企业组织都会这样考虑,只是做做样子的大有人在。
现在勒索软件组织把监管的大棒都挥舞起来了,等到“小概率必发生”变成现实的时候,估计领导班子连夜凑份子钱交数据赎金的故事会一而再再而三地重演。
参考:
[1] Ransomware group reports victim it breached to SEC regulators
[2] Ransomware Group Trolls Victim With SEC Complaint After Data Breach
