勒索攻击新套路 不交赎金就举报违规

勒索软件团伙ALPHV（又名“BlackCat”）向美国证券交易委员会（SEC）提起正式投诉，指控其最近一家受害企业未遵守新的披露规定。

11月7日，一名ALPHV内部人士对外爆料，称该团伙成功入侵了数字借贷服务提供商MeridianLink，在未加密其文件的情况下窃取了数据。此后，虽然进行过一次交涉，但该团伙未能就被盗数据处理事宜将该公司拉上谈判桌。

11月8日，ALPHV在其泄露网站上发布了这些数据。此外，该团伙还尝试了前所未见的附加勒索手段，向SEC提交了一份关于自己所犯罪行的报告，声称受害公司没有遵守SEC关于公司必须在什么时限内公开披露所遭攻击的新规定。

Keeper Security安全与架构副总裁Patrick Tiquet表示：“这是对安全主管的又一警示，安全主管必须认识到，披露决策和计划不再仅仅以安全最佳实践为指导，联邦法律责任也在其中起到重要作用。”

今年7月26日，SEC发布了上市公司应遵守的新网络安全规定。其中一条比较突出的要求是，公司必须披露“其确定为重大的任何网络安全事件”，并说明“事件性质、范围和时间的重要方面，及其对注册人的重大影响或可能的重大影响”。注册人通常应在确定重大网络安全事件后四个工作日内提交相关披露信息。

在MeridianLink缄默四天后，ALPHV通过SEC官方网站提交了关于此次入侵的信息：

该团伙写道：“我们想提请注意一个令人担忧的问题，即MeridianLink是否遵守最新的网络安全事件披露规定。我们注意到，MeridianLink发生了涉及客户数据和经营信息的重大数据泄露，但未遵从SEC新规在四个工作日内遵照8-K表格1.05项的要求提交必要的披露。”

该消息人士对外提供了一张表格截图，并附有自动生成的提交确认收据。

抛开这一大胆举动不谈，ALPPV可能在SEC讨不到好处有两个原因。

一方面，在11月8日提供给BleepingComputer的一份声明中，MeridianLink表示其尚未确定是否有任何消费者个人信息遭泄露，并补充道，“根据截至目前的调查，我们未发现任何证据表明我们的生产平台遭到未授权访问，该事件造成的业务中断微乎其微”。按照SEC的规定，该事件是否“重大”取决于ALPHV窃取和发布的具体数据。

另一方面，正如其最初的新闻稿中所指出的，SEC披露新规要到12月18日才生效（小公司的回旋余地还要更大些，可以延后180天才开始遵守这条规定）。

Tiquet警告称：“威胁将向SEC提起‘未报告’投诉是个颇具威力的战术，可能会武器化政府规定为网络犯罪团伙所用。SEC的惩处不可小觑，罚款可能非常高。”

* 本文为nana编译，原文地址：https://www.darkreading.com/risk/alphv-ransomware-group-files-sec-complaint-against-own-victim
注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。