Le groupe de ransomwares ALPHV (BlackCat) a dcid cette semaine de signaler aux autorits amricaines que sa victime a viol les lois fdrales en vigueur en cas de cyberattaque importante. Il a dpos une plainte auprs de la Securities and Exchange Commission (SEC) des tats-Unis contre la socit de logiciels MeridianLink pour n’avoir pas signal au rgulateur une prtendue violation de donnes cause par ses membres. La tactique est inhabituelle, voire indite, et vise mettre la pression la victime afin qu’elle paie une ranon. ALPHV est un acteur de la menace trs actif et serait l’origine de nombreuses violations de donnes majeures au cours des dernires annes.
MeridianLink est une socit amricaine cote en bourse qui fournit des solutions numriques aux organisations financires telles que les banques, les coopratives de crdit et les prteurs hypothcaires. L’entreprise a confirm rcemment avoir t victime d’un incident de cyberscurit, ce qui n’est pas rare. Ce qui l’est en revanche, c’est que le groupe de pirates prtendument l’origine de la violation de donnes tente d’attaquer sa victime en justice. Le groupe reproche sa victime prsume d’avoir dissimul la faille de scurit, ce qui est en violation des rgles de la SEC des tats-Unis exigeant que les cyberattaques soient divulgues dans les quatre jours.
Mercredi, ALPHV a inscrit MeridianLink sur sa liste de violations de donnes en menaant de divulguer les donnes prtendument voles moins qu’une ranon ne soit verse dans les 24 heures. Le groupe affirme avoir vol une quantit importante de donnes clients et d’informations oprationnelles appartenant MeridianLink. Il se serait introduit dans les systmes de MeridianLink le 7 novembre. Les pirates d’ALPHV auraient dclar DataBreaches.net qu’ils n’avaient pas chiffr de fichiers, mais qu’ils avaient simplement exfiltr des donnes, et MeridianLink aurait t informe de l’intrusion le jour mme. Mais il semble que MeridianLink n’ait pas rpondu.
ALPHV BlackCat allegedly files SEC complaint against MeridanLink for failure to file a cybersecurity incident.@Mandiant pic.twitter.com/DHEKLEo4DV
— Dominic Alvieri (@AlvieriD) November 15, 2023
En outre, MeridianLink fait une tout autre lecture de la situation. L’diteur de logiciels a dclar DataBreaches.net que l’intrusion avait eu lieu le 10 novembre. Ds la dcouverte de l’intrusion le jour mme, nous avons agi immdiatement pour contenir la menace et avons engag une quipe d’experts tiers pour enquter sur l’incident. Sur la base de notre enqute ce jour, nous n’avons identifi aucune preuve d’accs non autoris nos plateformes de production, et l’incident n’a entran qu’une interruption minimale de nos activits , a dclar MeridianLink, ajoutant qu’il ne peut pas donner plus de dtails en raison de son enqute en cours.
ALPHV a dclar qu’il semble que MeridianLink ait tendu la main, mais « nous n’avons pas encore reu de message de leur part » pour ngocier un paiement en change de la non-divulgation des donnes prtendument voles. L’absence prsume de rponse de la part de la socit a probablement incit les pirates exercer davantage de pression en dposant une plainte auprs de la SEC pour la non-divulgation par MeridianLink d’un incident de cyberscurit ayant eu un impact sur « les donnes des clients et les informations oprationnelles ». Les pirates ont publi des captures d’cran sur leur site pour montrer que la plainte a t dpose et reue par la SEC.
ALPHV a publi sur son site une capture d’cran du formulaire qu’ils ont rempli sur la page « Tips, Complaints, and Referrals » de la SEC. Selon l’acteur de la menace, la victime a subi une violation importante et ne l’a pas divulgue comme l’exige le formulaire 8-K, sous l’article 1.05. Pour rappel, la suite d’une srie d’incidents de scurit dans des organisations amricaines ces dernires annes, le rgulateur a adopt de nouvelles rgles qui obligent les entreprises cotes en bourse signaler les cyberattaques qui ont un impact matriel (des cyberattaques qui influencent les dcisions d’investissement). Cela doit tre dans les quatre jours suivants l’incident.
Nous souhaitons attirer votre attention sur un problme concernant le respect par MeridianLink des rgles rcemment adopt en matire de divulgation des incidents de cyberscurit. Nous avons appris que MeridianLink, la lumire d’une violation importante compromettant les donnes des clients et les informations oprationnelles, n’a pas dpos la dclaration requise au titre de l’article 1.05 du formulaire 8-K dans les quatre jours ouvrables stipuls, comme l’exigent les nouvelles rgles de la SEC , indique la plainte dpose par ALPHV. Toutefois, les nouvelles rgles de la SEC en matire de cyberscurit devraient entrer en vigueur le 15 dcembre 2023.
Ainsi, mme si la violation rpond la dfinition lgale d’un vnement important, il est peu probable que MeridianLink soit en infraction. Cela dit, le groupe de pirates tente probablement de profiter de l’inquitude suscite dans tout le secteur par la rcente dcision du rgulateur amricain de poursuivre le responsable de la scurit des informations de SolarWinds. D’aprs la SEC, le dirigeant de SolarWinds aurait tromp les investisseurs sur les pratiques de cyberscurit de l’entreprise avant une cyberattaque d’envergure mene en 2020 par des pirates affilis la Russie qui ont ensuite infect 18 000 clients de SolarWinds avec des logiciels malveillants.
Selon les analystes, de nombreux gangs de ransomwares et d’extorsions ont menac de signaler les violations et les vols de donnes la SEC, mais il s’agit peut-tre de la premire confirmation publique que cela a t fait. Auparavant, ils faisaient pression sur les victimes en contactant les clients pour les informer de l’intrusion. Brett Callow, analyste de scurit chez Emsisoft, a not qu’un groupe de ransomwares appel Maze a dj averti les victimes qu’il garde le contact avec les principaux organismes de rglementation financire et des valeurs mobilires et qu’il les informera de toutes les fuites et violations de donnes si un accord n’est pas conclu.
Les experts en cyberscurit indiquent que le groupe ALPHV est apparu pour la premire fois en novembre 2021 et se distingue par l’utilisation d’un ransomware, appel BlackCat, dvelopp avec le langage Rust. Le groupe cible la fois les environnements Windows et Linux. ALPHV est devenu l’un des groupes de ransomware les plus actifs dans le monde et il n’est pas rare que le groupe essaie de nouvelles mthodes pour convaincre les cibles de payer, y compris en crant des sites Web de fuite ddis aux victimes individuelles. Le groupe serait impliqu dans le piratage cette anne des chanes de casinos et de restaurants MGM Resorts et Caesars.
ALPHV serait galement connu pour sa pratique peu commune consistant menacer de lancer des attaques par dni de service distribu (DDoS) sur les cibles qu’il avait dj compromises, afin d’exercer une pression supplmentaire pour obtenir un paiement. En avril 2023, ALPHV est devenu l’un des groupes de ransomwares les plus prolifiques du paysage actuel des menaces. Le groupe n’est devanc que par le gang de ransomwares Lockbit en termes d’activit observe , a crit Chris Lucas, analyste en gopolitique et en cyberscurit, en mai. La SEC a refus de commenter la situation, mais aussi la prtendue plainte dpose par le groupe ALPHV.
Dans les commentaires, beaucoup trouvent la manuvre la fois effrayante et ironique. D’un ct, nous, les citoyens, mais aussi les entreprises, avons besoin de savoir quand nos donnes ont t voles. D’autre part, il est assez drle qu’un groupe de ransomwares utilise les mmes rgles pour faire pression sur les entreprises qu’il tente d’extorquer. Ce qui est effrayant toutefois, c’est que MeridianLink n’ait pas communiqu sur la violation de donnes plusieurs jours aprs avoir constat qu’il a t compromis. Cela pourrait empcher les clients de ragir de faon adquate pour analyser et scuriser leurs infrastructures , a crit un critique.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la tactique des pirates d’ALPHV pour obliger leur victime payer la ranon ?
Pensez-vous vous que MeridianLink a enfreint les rgles de la SEC comme le groupe de pirates le prtend ?
Cette manuvre a-t-elle des chances d’aboutir lorsqu’on sait que le groupe n’a pas chiffr les donnes de la victime ?
Voir aussi