Nhóm tội phạm mạng BlackCat, hay còn được gọi là ALPHV mới đây đã liệt kê MeridianLink - Nhà cung cấp giải pháp cho vay kỹ thuật số cho các tổ chức tài chính, trên trang web rò rỉ dữ liệu được sử dụng để công khai tên và thông tin các công ty bị xâm phạm. Hầu hết các nhóm tin tặc mã độc tống tiền đều đã áp dụng chiến thuật tống tiền kép này trong những năm gần đây để ép buộc những nạn nhân không hợp tác bằng cách đe dọa bán hoặc tiết lộ dữ liệu mà những kẻ tấn công đã đánh cắp được.

Trên thực tế, một số nhóm tội phạm mạng thậm chí không cần triển khai phần mềm độc hại mã hóa tệp mà tập trung đến việc tống tiền rò rỉ dữ liệu. Điều này dường như đã xảy ra với BlackCat và MeridianLink. Vụ vi phạm được cho là đã xảy ra vào ngày 7/11/2023 và chỉ liên quan đến việc đánh cắp dữ liệu.

Những kẻ tấn công cho biết sau lần liên lạc đầu tiên của người đại diện MeridianLink, không có bất cứ trao đổi nào tiếp theo. Do đó, vào ngày 15/11/2023, BlackCat đã liệt kê tổ chức này trên blog rò rỉ dữ liệu của họ và tiến thêm một bước nữa đó là đệ đơn khiếu nại lên SEC vì nạn nhân không tiết lộ điều mà nhóm này gọi là “một vi phạm nghiêm trọng ảnh hưởng đến dữ liệu khách hàng và thông tin hoạt động”.

Các quy tắc báo cáo an ninh mạng mới của SEC đã có hiệu lực từ ngày 15/12/2023, yêu cầu các công ty tại Mỹ tiết lộ các sự cố an ninh mạng ảnh hưởng đến tình hình tài chính và hoạt động của công ty trong vòng bốn ngày làm việc sau khi xác định sự cố đó xảy ra và có tác động đáng kể. Các quy định mới sẽ làm phức tạp thêm vai trò của lãnh đạo, nhà quản lý và giám đốc an ninh thông tin trong các công ty, vì các hành động gần đây của SEC chứng minh rằng CISO có thể phải chịu trách nhiệm pháp lý vì đã trình bày không đúng về tình hình an ninh mạng của công ty và đến giờ là tác động của các vụ xâm phạm dữ liệu.

Tháng trước, SEC đã đệ đơn tố cáo SolarWinds và CISO của công ty này, ông Timothy G. Brown, vì đã không tiết lộ “những rủi ro đã biết” và không trình bày chính xác các biện pháp an ninh mạng của công ty trong và trước cuộc tấn công mạng năm 2020, gây ảnh hưởng đến hàng nghìn khách hàng trong các cơ quan chính phủ và các công ty trên toàn cầu.

Các chuyên gia an ninh mạng nhận định rằng sẽ rất thú vị khi chờ xem SEC phản ứng thế nào trước khả năng các nhóm mã độc tống tiền lợi dụng quy tắc và tính năng khiếu nại của cơ quan này để tiến hành tống tiền nạn nhân.

Ferhat Dikbiyik, người đứng đầu bộ phận nghiên cứu tại công ty quản lý rủi ro mạng Black Kite (Mỹ) chia sẻ: “Điều này gây thêm áp lực lên các nạn nhân, đặc biệt là đối với MeridianLink sau khi bị xâm nhập mạng và đánh cắp dữ liệu trái phép. Diễn biến này có thể đặt ra câu hỏi về tính hiệu quả của các quy định mới của SEC trong cuộc chiến chống tội phạm mạng. Mặc dù các quy định của SEC là một bước hướng tới sự minh bạch, nhưng các sự cố của MeridianLink đã cho thấy một sự thật hiển nhiên: Chỉ tuân thủ thôi là chưa đủ”.

Jim Doggett, Giám đốc an ninh thông tin của công ty an ninh mạng Semperis (Mỹ) cho biết: “Các báo cáo về việc BlackCat tiết lộ một trong những nạn nhân của chúng cho SEC không có gì đáng ngạc nhiên trong bối cảnh mã độc tống tiền ngày càng phát triển. Có thể một số người sẽ cho rằng động thái của BlackCat nhiều nhất là mang tính cơ hội và chúng chỉ được thúc đẩy bởi vấn đề tiền bạc nhằm buộc nạn nhân phải thanh toán nhanh hơn. Một số ý kiến khác nhận định rằng các hoạt động của BlackCat có thể khiến nhóm này rơi vào tầm ngắm của các cơ quan thực thi pháp luật Mỹ. Tuy nhiên cần phải nhấn mạnh, các nhóm tin tặc mã độc tống tiền đều là tổ chức tội phạm và động cơ duy nhất của chúng là lợi nhuận.”