勒索软件集团向SEC投诉受害者未及时披露数据泄露问题

我们在很多奇葩的新闻中，会看到有些小偷在偷东西时受伤或死亡，向主人索赔事件，我们好多人总认为这事很奇葩很奇葩，而网络安全领域美国方面也上演了一出类似的案例。

一个臭名昭著的勒索软件组织已向美国证券交易委员会 (SEC) 提出投诉，称受害者未能披露因网络犯罪团伙本身进行的攻击而导致的数据泄露事件。

名为 Alphv 和 BlackCat 的勒索软件组织声称入侵了 MeridianLink 的系统，该公司是一家总部位于加利福尼亚州的公司，为金融机构提供数字借贷解决方案，并为消费者提供数据验证解决方案。

网络犯罪分子声称窃取了属于 MeridianLink 的大量客户数据和运营信息，并威胁称除非支付赎金，否则将泄露这些信息。

为了增加获得报酬的机会，恶意黑客声称已向美国证券交易委员会 (SEC) 提出针对 MeridianLink 的投诉，指责该公司未能按照该机构在 2017 年公布的规则的要求，在四个工作日内披露违规行为。

BlackCat 于 11 月 15 日在其泄密网站上发布了截图，显示该投诉已提交并已被 SEC 收到。 

这似乎是勒索软件组织首次向 SEC 对其受害者提出投诉。 

黑客告诉DataBreaches.net，针对 MeridianLink 的攻击（据称不涉及文件加密勒索软件，仅涉及数据盗窃）于 11 月 7 日进行，并于当天被发现。 

然而，MeridianLink 告诉 DataBreaches.net，入侵发生在 11 月 10 日。

“当天发现后，我们立即采取行动遏制威胁，并聘请第三方专家团队调查该事件。根据我们迄今为止的调查，我们没有发现任何未经授权访问我们生产平台的证据，并且该事件造成的业务中断程度很小。”该公司表示，并补充说，由于调查正在进行，因此无法透露更多细节。 

值得指出的是，新的 SEC 数据泄露披露规则将于 2023 年 12 月中旬生效。此外，公司将被要求在确定网络安全事件对投资者重大后的四个工作日内通知 SEC，这根据 MeridianLink 的声明，目前尚未发生。SEC方面对此拒绝置评。

BlackCat一直是最活跃的勒索软件操作之一，该组织尝试新方法说服目标付款的情况并不少见，包括为个人受害者 建立专门的泄密网站。