Discussion :

[Mathis Lucas]

Un groupe de ransomwares dépose une plainte auprès de la SEC contre sa victime pour n'avoir pas divulgué une cyberattaque
une tactique inédite visant à lui mettre la pression pour payer la rançon

Le groupe de ransomwares ALPHV (BlackCat) a décidé cette semaine de signaler aux autorités américaines que sa victime a violé les lois fédérales en vigueur en cas de cyberattaque importante. Il a déposé une plainte auprès de la Securities and Exchange Commission (SEC) des États-Unis contre la société de logiciels MeridianLink pour n'avoir pas signalé au régulateur une prétendue violation de données causée par ses membres. La tactique est inhabituelle, voire inédite, et vise à mettre la pression à la victime afin qu'elle paie une rançon. ALPHV est un acteur de la menace très actif et serait à l'origine de nombreuses violations de données majeures au cours des dernières années.

MeridianLink est une société américaine cotée en bourse qui fournit des solutions numériques aux organisations financières telles que les banques, les coopératives de crédit et les prêteurs hypothécaires. L'entreprise a confirmé récemment avoir été victime d'un incident de cybersécurité, ce qui n'est pas rare. Ce qui l'est en revanche, c'est que le groupe de pirates prétendument l'origine de la violation de données tente d'attaquer sa victime en justice. Le groupe reproche à sa victime présumée d'avoir dissimulé la faille de sécurité, ce qui est en violation des règles de la SEC des États-Unis exigeant que les cyberattaques soient divulguées dans les quatre jours.

Mercredi, ALPHV a inscrit MeridianLink sur sa liste de violations de données en menaçant de divulguer les données prétendument volées à moins qu'une rançon ne soit versée dans les 24 heures. Le groupe affirme avoir volé une quantité importante de données clients et d'informations opérationnelles appartenant à MeridianLink. Il se serait introduit dans les systèmes de MeridianLink le 7 novembre. Les pirates d'ALPHV auraient déclaré à DataBreaches.net qu'ils n'avaient pas chiffré de fichiers, mais qu'ils avaient simplement exfiltré des données, et MeridianLink aurait été informée de l'intrusion le jour même. Mais il semble que MeridianLink n'ait pas répondu.

ALPHV BlackCat allegedly files SEC complaint against MeridanLink for failure to file a cybersecurity incident.@Mandiant pic.twitter.com/DHEKLEo4DV

— Dominic Alvieri (@AlvieriD) November 15, 2023

En outre, MeridianLink fait une tout autre lecture de la situation. L'éditeur de logiciels a déclaré à DataBreaches.net que l'intrusion avait eu lieu le 10 novembre. « Dès la découverte de l'intrusion le jour même, nous avons agi immédiatement pour contenir la menace et avons engagé une équipe d'experts tiers pour enquêter sur l'incident. Sur la base de notre enquête à ce jour, nous n'avons identifié aucune preuve d'accès non autorisé à nos plateformes de production, et l'incident n'a entraîné qu'une interruption minimale de nos activités », a déclaré MeridianLink, ajoutant qu'il ne peut pas donner plus de détails en raison de son enquête en cours.

ALPHV a déclaré qu'il semble que MeridianLink ait tendu la main, mais "nous n'avons pas encore reçu de message de leur part" pour négocier un paiement en échange de la non-divulgation des données prétendument volées. L'absence présumée de réponse de la part de la société a probablement incité les pirates à exercer davantage de pression en déposant une plainte auprès de la SEC pour la non-divulgation par MeridianLink d'un incident de cybersécurité ayant eu un impact sur "les données des clients et les informations opérationnelles". Les pirates ont publié des captures d'écran sur leur site pour montrer que la plainte a été déposée et reçue par la SEC.

ALPHV a publié sur son site une capture d'écran du formulaire qu'ils ont rempli sur la page "Tips, Complaints, and Referrals" de la SEC. Selon l'acteur de la menace, la victime a subi une violation importante et ne l'a pas divulguée comme l'exige le formulaire 8-K, sous l'article 1.05. Pour rappel, à la suite d'une série d'incidents de sécurité dans des organisations américaines ces dernières années, le régulateur a adopté de nouvelles règles qui obligent les entreprises cotées en bourse à signaler les cyberattaques qui ont un impact matériel (des cyberattaques qui influencent les décisions d'investissement). Cela doit être dans les quatre jours suivants l'incident.

« Nous souhaitons attirer votre attention sur un problème concernant le respect par MeridianLink des règles récemment adopté en matière de divulgation des incidents de cybersécurité. Nous avons appris que MeridianLink, à la lumière d'une violation importante compromettant les données des clients et les informations opérationnelles, n'a pas déposé la déclaration requise au titre de l'article 1.05 du formulaire 8-K dans les quatre jours ouvrables stipulés, comme l'exigent les nouvelles règles de la SEC », indique la plainte déposée par ALPHV. Toutefois, les nouvelles règles de la SEC en matière de cybersécurité devraient entrer en vigueur le 15 décembre 2023.

Ainsi, même si la violation répond à la définition légale d'un événement important, il est peu probable que MeridianLink soit en infraction. Cela dit, le groupe de pirates tente probablement de profiter de l'inquiétude suscitée dans tout le secteur par la récente décision du régulateur américain de poursuivre le responsable de la sécurité des informations de SolarWinds. D'après la SEC, le dirigeant de SolarWinds aurait trompé les investisseurs sur les pratiques de cybersécurité de l'entreprise avant une cyberattaque d'envergure menée en 2020 par des pirates affiliés à la Russie qui ont ensuite infecté 18 000 clients de SolarWinds avec des logiciels malveillants.

Selon les analystes, de nombreux gangs de ransomwares et d'extorsions ont menacé de signaler les violations et les vols de données à la SEC, mais il s'agit peut-être de la première confirmation publique que cela a été fait. Auparavant, ils faisaient pression sur les victimes en contactant les clients pour les informer de l'intrusion. Brett Callow, analyste de sécurité chez Emsisoft, a noté qu'un groupe de ransomwares appelé Maze a déjà averti les victimes qu'il garde le contact avec les principaux organismes de réglementation financière et des valeurs mobilières et qu'il les informera de toutes les fuites et violations de données si un accord n'est pas conclu.

Les experts en cybersécurité indiquent que le groupe ALPHV est apparu pour la première fois en novembre 2021 et se distingue par l'utilisation d'un ransomware, appelé BlackCat, développé avec le langage Rust. Le groupe cible à la fois les environnements Windows et Linux. ALPHV est devenu l'un des groupes de ransomware les plus actifs dans le monde et il n'est pas rare que le groupe essaie de nouvelles méthodes pour convaincre les cibles de payer, y compris en créant des sites Web de fuite dédiés aux victimes individuelles. Le groupe serait impliqué dans le piratage cette année des chaînes de casinos et de restaurants MGM Resorts et Caesars.

ALPHV serait également connu pour sa pratique peu commune consistant à menacer de lancer des attaques par déni de service distribué (DDoS) sur les cibles qu'il avait déjà compromises, afin d'exercer une pression supplémentaire pour obtenir un paiement. « En avril 2023, ALPHV est devenu l'un des groupes de ransomwares les plus prolifiques du paysage actuel des menaces. Le groupe n'est devancé que par le gang de ransomwares Lockbit en termes d'activité observée », a écrit Chris Lucas, analyste en géopolitique et en cybersécurité, en mai. La SEC a refusé de commenter la situation, mais aussi la prétendue plainte déposée par le groupe ALPHV.

Dans les commentaires, beaucoup trouvent la manœuvre à la fois effrayante et ironique. « D'un côté, nous, les citoyens, mais aussi les entreprises, avons besoin de savoir quand nos données ont été volées. D'autre part, il est assez drôle qu'un groupe de ransomwares utilise les mêmes règles pour faire pression sur les entreprises qu'il tente d'extorquer. Ce qui est effrayant toutefois, c'est que MeridianLink n'ait pas communiqué sur la violation de données plusieurs jours après avoir constaté qu'il a été compromis. Cela pourrait empêcher les clients de réagir de façon adéquate pour analyser et sécuriser leurs infrastructures », a écrit un critique.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la tactique des pirates d'ALPHV pour obliger leur victime à payer la rançon ?
Pensez-vous vous que MeridianLink a enfreint les règles de la SEC comme le groupe de pirates le prétend ?
Cette manœuvre a-t-elle des chances d'aboutir lorsqu'on sait que le groupe n'a pas chiffré les données de la victime ?

Voir aussi

Cybersécurité : la SEC contraint les entreprises publiques à divulguer les incidents dans les 4 jours, le gendarme américain de la bourse voudrait protéger les investisseurs

Caesars cède au chantage et paie des millions de dollars aux hackers pour les empêcher de divulguer ses données, c'est le deuxième grand groupe de casinos de Las Vegas à être piraté en septembre

Un simple appel téléphonique au service d'assistance serait à l'origine du piratage de l'exploitant de casinos MGM, mettant hors service les machines à sous et les cartes-clés des chambres d'hôtel

[Anselme45]

Oh la belle fable!

Il y a juste un problème: Pour déposer une plainte, il faut être une personne physique (Mme Michu) ou une personne morale (société X, association Y) représentée par un représentant légal soit une personne physique qui fait métier d'avocat par exemple!

Un groupe de ransomware est ni l'un, ni l'autre... Il s'agit simplement d'un groupe de personnes en délicatesse avec la justice qui veulent rester anonymes et qui en présence d'un juge ne seront pas du côté des plaignants mais dans le box des accusés!

Alors ils ont bien pu envoyer un mail qui se veut anonyme à X ou Y mais cela ne représente en rien une "plainte", il s'agit juste d'une lettre anonyme sans la moindre valeur... Je doute qu'ils se proposent de venir physiquement témoigner et défendre leur allégations