گروهک هکری از قربانی خود شکایت کرد

به گزارش پیوست به نقل از بلیپینگ‌کامپیوتر، این گروهک روز گذشته شرکت نرم‌افزاری MeridianLink را در لیست هک خود قرار داد و گفت در صورت عدم پرداخت باج طی ۲۴ ساعت، داده‌های به سرقت رفته را منتشر می‌کند.

شرکت MeridianLink سهامی عام است و برای سازمان‌های امور مالی از جمله بانک‌ها،‌ اتحادیه‌های اعتباری و وام‌دهندگان راه‌حل دیجیتالی ارائه می‌دهد.

هکرهایی که خودشان برای SEC خبرچینی می‌کنند

طبق اطلاعات وبسایت DataBreaches.net، گروه باج‌افزاری ALPHV می‌گوید در روز ۷ نوامبر به شبکه MeridianLink نفوذ کرده داده‌‌های شرکت را بدون سیستم‌های رمزنگاری شده به سرقت برده است.

این گروه باج‌افزاری می‌گوید: «به نظر MeridianLink متوجه شده اما هنوز پیامی از آنها» برای صحبت بر سر مبلغ دریافت نکرده‌ایم.

به نظر همین عدم پاسخ‌گویی باعث شده تا هکر‌ها با طرح شکایتی به SEC فشار خود را افزایش دهند. هکرها می‌گویند این شرکت هنوز حادثه‌ای که «داده‌های مشتریان و اطلاعات عملیاتی» را تحت تاثیر قرار داده به SEC گزارش نداده است.

گروه ALPHV برای اثبات شکایت خود اسکرین‌شاتی از صفحه شکایات SEC را در وبسایت خود منتشر کرده است.

براساس این اسکرین‌شات، مهاجم به SEC اطلاع داده است که MeridianLink با یک «درز گسترده اطلاعات» مواجه شده اما با وجود الزام Form 8-k از بند ۱.۰۵، این مساله را به SEC اطلاع نداده است.

حجم بالای حملات سایبری در ایالات متحده باعث شد تا SEC قانون جدید را وضع و براساس آن شرکت‌های سهامی عام را ملزم به گزارش حملات سایبری کند. براساس این قانون حملاتی که تاثیر مادی داشته و بر تصمیمات‌ سرمایه‌گذاری تاثیرگذارند باید به این نهاد گزارش شوند.

براساس این قانون، گزارش حادثه «باید چهار روز کاری پس از اطمینان از وقوع یک حادثه امنیت سایبری» اطلاع‌رسانی شود.

با این حال ، قوانین جدید SEC براساس گزارش رویترز، از ابتدای اکتبر اجرایی می‌شوند. ALPHV در وباستی خود پاسخ شکایت را نیز منتشر کرده و به نظر طرح شکایت مهاجم از قربانی در کمیسیون بورس و اوراق بهادار ایالات متحده با موفقیت به ثبت رسیده است.

شرکت MeridianLink می‌گوید پس از شناسایی این حادثه فورا تهدید موجود را خنثی کرده از متخصصان شخص‌ثالث برای بررسی آن کمک گرفته است.

با انی حال شرکت همچنان در حال بررسی است تا ببین آیا اطلاعات شخصی کاربران در نتیجه این حمله تحت تاثیر قرار گرفته است یا خیر و در صورت متاثر شدن هرکدام از طرفین به آنها اطلاع‌رسانی می‌کند.

در حالی که بسیاری از گروهک‌های باج‌افزاری و اخاذی پیش از این درمورد شکایت به SEC تهدید کرده‌اند اما این اولین بار است که یک تاییدیه عمومی از طرح و قبول شکایت را شاهد هستیم.

پیش از این بیشتر گروهک‌های هکری با تهدید به اطلاع‌رسانی قربانی خود را تحت فشار می‌گذاشتند.