近日，勒索軟件組織ALPHV（又稱BlackCat，前身是攻擊殖民地管道的DarkSide組織）向美國(guó)證券交易委員會(huì)（SEC）提交投訴，舉報(bào)其受害者——上市軟件公司MeridianLink未按規(guī)定披露數(shù)據(jù)泄漏事件。

這是勒索軟件組織首次向監(jiān)管部門“實(shí)名舉報(bào)”其受害者的違規(guī)行為，可謂開了行業(yè)先河。

ALPHV聲稱在11月7日侵入了MeridianLink的網(wǎng)絡(luò)并竊取了公司數(shù)據(jù)，但并未加密系統(tǒng)。并威脅后者在24小時(shí)不支付贖金就泄露所竊取的數(shù)據(jù)。

ALPHV表示，盡管MeridianLink似乎有意與其接觸進(jìn)行贖金談判，但尚未收到公司的正式回應(yīng)。MeridianLink的拖延戰(zhàn)術(shù)激怒了ALPHV，后者憤然向SEC提交投訴，稱MeridianLink未按政策要求披露影響“客戶數(shù)據(jù)和運(yùn)營(yíng)信息”的網(wǎng)絡(luò)安全事件。

為了證明投訴行為的真實(shí)性，ALPHV在其網(wǎng)站上發(fā)布了他們?cè)赟EC投訴頁(yè)面上填寫表格的屏幕截圖：

SEC的“四日”新規(guī)

由于美國(guó)機(jī)構(gòu)頻繁遭受網(wǎng)絡(luò)安全事件，今年7月份SEC頒布了安全事件報(bào)告規(guī)則，要求上市公司在確定網(wǎng)絡(luò)攻擊屬于重大事件后的四個(gè)工作日內(nèi)披露信息。

新規(guī)要求上市公司必須在報(bào)告文件中（特別是8-K表格）披露有關(guān)網(wǎng)絡(luò)攻擊的詳細(xì)信息（包括事件的性質(zhì)、范圍和時(shí)間），規(guī)模較小的公司可延期180天披露。

SEC要求公司披露的網(wǎng)絡(luò)安全事件詳細(xì)信息具體如下（在提交表格8-K時(shí)可用）：

• 發(fā)現(xiàn)日期和事件狀態(tài)（正在進(jìn)行或已解決）。
• 對(duì)事件性質(zhì)和范圍的簡(jiǎn)要描述。
• 未經(jīng)授權(quán)可能被泄露、更改、訪問或使用的任何數(shù)據(jù)。
• 該事件對(duì)公司經(jīng)營(yíng)的影響。
• 有關(guān)公司正在進(jìn)行或已完成的補(bǔ)救措施的信息。

然而，ALPHV可能沒有注意到，該新規(guī)的生效日期是2023年12月15日。

SEC新規(guī)讓CISO成為高危職業(yè)

MeridianLink對(duì)此事件回應(yīng)稱：在確認(rèn)事件后，公司立即采取行動(dòng)以控制威脅，并聘請(qǐng)了第三方專家進(jìn)行調(diào)查。公司還在努力確定是否有消費(fèi)者個(gè)人信息受到此次網(wǎng)絡(luò)攻擊的影響，并將在確認(rèn)后通知受影響方。根據(jù)目前的調(diào)查，未發(fā)現(xiàn)未經(jīng)授權(quán)訪問其生產(chǎn)平臺(tái)的證據(jù)，且此事件對(duì)業(yè)務(wù)造成的中斷影響很小。

那么問題來了，如果ALPHV聲稱的攻擊是事實(shí)，那么MeridianLink向SEC提交的報(bào)告就有瞞報(bào)事件的可能，而MeridianLink的CISO可能面臨觸犯法律的風(fēng)險(xiǎn)。

根據(jù)SEC的新規(guī)，如果企業(yè)瞞報(bào)網(wǎng)絡(luò)攻擊，而該企業(yè)的CISO看到SEC報(bào)告最終版本并意識(shí)到該文件誤導(dǎo)了SEC，那么該CISO就有責(zé)任向SEC檢舉揭發(fā)，否則將面臨欺詐從犯的指控。

今年10月份，SEC對(duì)SolarWinds席信息安全官Timothy G.Brown提出指控，指控其在2020年Sunburst網(wǎng)絡(luò)攻擊期間和之前未披露“已知風(fēng)險(xiǎn)”且未準(zhǔn)確表述該公司的網(wǎng)絡(luò)安全措施，從而誤導(dǎo)投資者。這是CISO首次因瞞報(bào)事件而被SEC直接指控，被業(yè)界看作是導(dǎo)致CISO成為高風(fēng)險(xiǎn)職業(yè)的一個(gè)標(biāo)志性事件。

但令CISO進(jìn)退維谷的是，雖然SEC有舉報(bào)人保護(hù)機(jī)制，但只有當(dāng)CISO的檢舉內(nèi)容屬實(shí)且公司確實(shí)存在欺詐（瞞報(bào)）行為時(shí)，舉報(bào)人保護(hù)機(jī)制才會(huì)啟動(dòng)。如果CISO判斷有誤，就不會(huì)有任何保護(hù)措施，被舉報(bào)公司可用各種可用方法對(duì)CISO進(jìn)行報(bào)復(fù)。

勒索軟件的“催收”和“增收”新策略

舉報(bào)MeridianLink的ALPHV勒索軟件組織以其持續(xù)不斷調(diào)整和完善攻擊技術(shù)和業(yè)務(wù)策略而著稱，是最“敏捷”的勒索軟件組織之一。

根據(jù)GRIT發(fā)布2023年勒索軟件報(bào)告，ALPHV是二季度第二活躍的勒索軟件組織，受害者數(shù)量比第一季度增加了50%，在2023年最活躍最多產(chǎn)的十大勒索軟件組織中排名第二，僅次于LockBit：

雖然包括ALPHV等頭部勒索軟件組織在2023年開足馬力“收割”知名企業(yè)，但贖金收入?yún)s呈下滑趨勢(shì)。根據(jù)勒索軟件事件響應(yīng)公司Coveware的一份報(bào)告，今年第二季度遭受勒索軟件攻擊的付費(fèi)受害者數(shù)量“降至34%，創(chuàng)歷史新低。

“轉(zhuǎn)化率”和收入的暴跌迫使ALPHV這樣的勒索軟件組織不斷創(chuàng)新其“催收”和“增收”策略。例如，據(jù)惡意軟件研究小組VX-Underground透露，ALPHV今年七月份推出了其數(shù)據(jù)泄漏網(wǎng)站的API和Python爬蟲工具，幫助相關(guān)人員（例如新聞媒體和安全研究人員）快速獲取最新的受害者名單和信息（下圖）：

除了通過增加曝光量（甚至包括明網(wǎng)泄漏）外，一些勒索軟件組織開始采用“薄利多銷”的創(chuàng)收策略，即通過供應(yīng)鏈來入侵大量企業(yè)來提高贖金總收入。

例如，Clop勒索軟件通過其大規(guī)模的MOVEit漏洞利用竊取數(shù)據(jù)，至少獲利7500萬美元。

向行業(yè)主管部門投訴也是勒索軟件組織向受害者施壓的“催收”策略之一。在ALPHV之前，曾有許多勒索軟件組織威脅受害者要向SEC報(bào)告數(shù)據(jù)泄露和數(shù)據(jù)盜竊事件，但ALPHV是迄今首次公開證實(shí)的案例。

過去，勒索軟件組織經(jīng)常通過聯(lián)系受害者的客戶來告知數(shù)據(jù)泄漏情況，有時(shí)還會(huì)直接電話恐嚇受害者。不久前這種恐嚇進(jìn)一步升級(jí)，有勒索軟件組織甚至威脅要對(duì)受害者采取物理攻擊和傷害，這是RaaS流行導(dǎo)致勒索軟件攻擊技術(shù)門檻進(jìn)一步降低后，勒索軟件“民主化”與黑社會(huì)活動(dòng)產(chǎn)生交集的一種新的全球性趨勢(shì)。