勒索软件团伙为了让受害者掏钱,居然直接报告给监管部门

作者:Sender Su  来源:原创内容  发布日期:2023-11-22  最后修改日期:2023-11-22

网络安全这个领域无奇不有。据报道,名为AlphV/BlackCat的勒索软件团伙声称攻入了金融科技平台 MeridianLink 的系统,并已经向监管部门即美国证券交易委员会(SEC)投诉 MeridianLink 隐瞒不报[1-2]。

注意:主动向监管部门报告的是勒索软件团伙,而不是受害者。

article banner

笔者:国际认证信息系统审计师、软考系统分析师

这事情有个外因:按即将在2023年12月生效的美国证券交易委员会的新规定,任何上市公司在发现遭受到黑客攻击形成重大影响(material impact)的网络安全事件后,应该在4天内向SEC提交披露报告。

但是,勒索软件团伙尚未等到新规生效,就已经把攻击行为主动揭露,还发布了他们在 SEC 网站上提交投诉的填单截图。

MeridianLink 方面表示,勒索软件攻击事件属实,但只是造成轻微的(minimal)业务中断。目前已经聘请了外部团队进行事件调查。如果能确认攻击事件导致消费者个人信息泄露,其将会按新规要求进行报告。

意思就是黑客攻击事件的严重性未达到需要披露的程度。

事情的滑稽在于,勒索软件组织方面用义正言辞的口吻(“We want to bring to your attention a concerning issue”)声称,由于 MeridianLink 在受到攻击之后超过了4天仍没有履行报告攻击事件的业务,所以我们将此不合规的行径公之于众。

看不懂?其实勒索软件组织的目的很简单:为了迫使(下一个)受害者更爽快地掏出赎金。现在这一个可能确实影响轻微,估计应对措施做得很足,但下一个没做准备的就别犹豫了,掏钱消灾吧。

真是兵不厌诈。

这种做法,之前也曾有其他勒索软件组织比如Maze,对受害者声称,如果未能达成协议,会把数据泄露情况和违规情况向监管部门报告。

不过这次AlphV“来真的”,毫无疑问,这种做法的确会对遭受网络攻击的企业组织构成新的压力。

本来,网络安全相关的监管越严,企业的合规压力就越大。正确应对合规压力应该是严格建立网络安全管理体系,不留死角地执行网络安全日常工作,以合规审计证实已经履职尽责。但可惜并不是每个企业组织都会这样考虑,只是做做样子的大有人在。

现在勒索软件组织把监管的大棒都挥舞起来了,等到“小概率必发生”变成现实的时候,估计领导班子连夜凑份子钱交数据赎金的故事会一而再再而三地重演。

参考:

[1] Ransomware group reports victim it breached to SEC regulators

https://arstechnica.com/security/2023/11/ransomware-group-reports-victim-it-breached-to-sec-regulators/

[2] Ransomware Group Trolls Victim With SEC Complaint After Data Breach

https://www.cpomagazine.com/cyber-security/ransomware-group-trolls-victim-with-sec-complaint-after-data-breach/

本栏目相关
  •  2023-11-22 勒索软件团伙为了让受害者掏钱,居然直接报告给监管部门
  •  2024-03-19 电影《沙丘》中的零信任和风险管理(剧透)
  •  2024-03-26 信息化项目甲方避坑指东之一
  •  2024-04-22 信息化项目甲方避坑指东之二
  •  2024-05-28 微软 AI PC 的新功能“回顾”一定是个大坑
  •  2024-07-29 “观星者哥布林”的警示:瞄准病急乱投医的软件供应链水坑攻击
  •  2024-07-20 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Windows所思
  •  2024-09-08 CISecurity.org 已经拒绝中国大陆 IP 地址访问
  •  2024-05-19 信息化项目甲方避坑指东之三
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码:

    本栏目热门内容
  • 评论:关于DBA这个角色职业未来之我见
  • 勒索软件团伙为了让受害者掏钱,居然直接报告给监管...
  • 评论:都一窝蜂地迁移基础设施......但真准备好了?...
  • 评论:我对终身学习的看法和自己的方法
  • 电影《沙丘》中的零信任和风险管理(剧透)
  • 信息化项目甲方避坑指东之一
  • 国产化替代:资源有限的甲方如何选择操作系统?
  • 信息化项目甲方避坑指东之二
  • 微软 AI PC 的新功能“回顾”一定是个大坑
  • “观星者哥布林”的警示:瞄准病急乱投医的软件供应...
  • 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Win...
  • 数据分类分级不是皇帝的新衣,是甲方信息化部门的尚...
  • CISecurity.org 已经拒绝中国大陆 IP 地址访问
  • WSUS 行将就木:微软决定放弃这款差强人意的更新管...
  • 信息化项目甲方避坑指东之三
  • 高“效”运维已死,高质运维永生
  • 蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历...
  • IT环境多样性:供应链安全和网络弹性之源!
  • 中国·广州 2024年国家网络安全宣传周现场精彩一瞥
  • 网络安全日志保留6个月?可能要三年。
  • 国产化替代:操作系统厂商需要加快制订加固基准
  • 采购使用传呼机、对讲机归谁管?
  • 从香港网络安全峰会2024观察香港网安市场机遇
  • 香港网络安全峰会2024所见
  • 安全加固必须要有可人读的基准文本而不是傻瓜式的黑...
  • BASIC 语言发明人去世,想起自己用过很多种 BASIC