上市公司瞞報(bào)數(shù)據(jù)泄漏,遭勒索軟件組織“實(shí)名舉報(bào)”
近日,勒索軟件組織ALPHV(又稱BlackCat,前身是攻擊殖民地管道的DarkSide組織)向美國(guó)證券交易委員會(huì)(SEC)提交投訴,舉報(bào)其受害者——上市軟件公司MeridianLink未按規(guī)定披露數(shù)據(jù)泄漏事件。
這是勒索軟件組織首次向監(jiān)管部門“實(shí)名舉報(bào)”其受害者的違規(guī)行為,可謂開了行業(yè)先河。
ALPHV聲稱在11月7日侵入了MeridianLink的網(wǎng)絡(luò)并竊取了公司數(shù)據(jù),但并未加密系統(tǒng)。并威脅后者在24小時(shí)不支付贖金就泄露所竊取的數(shù)據(jù)。
ALPHV表示,盡管MeridianLink似乎有意與其接觸進(jìn)行贖金談判,但尚未收到公司的正式回應(yīng)。MeridianLink的拖延戰(zhàn)術(shù)激怒了ALPHV,后者憤然向SEC提交投訴,稱MeridianLink未按政策要求披露影響“客戶數(shù)據(jù)和運(yùn)營(yíng)信息”的網(wǎng)絡(luò)安全事件。
為了證明投訴行為的真實(shí)性,ALPHV在其網(wǎng)站上發(fā)布了他們?cè)赟EC投訴頁(yè)面上填寫表格的屏幕截圖:
SEC的“四日”新規(guī)
由于美國(guó)機(jī)構(gòu)頻繁遭受網(wǎng)絡(luò)安全事件,今年7月份SEC頒布了安全事件報(bào)告規(guī)則,要求上市公司在確定網(wǎng)絡(luò)攻擊屬于重大事件后的四個(gè)工作日內(nèi)披露信息。
新規(guī)要求上市公司必須在報(bào)告文件中(特別是8-K表格)披露有關(guān)網(wǎng)絡(luò)攻擊的詳細(xì)信息(包括事件的性質(zhì)、范圍和時(shí)間),規(guī)模較小的公司可延期180天披露。
SEC要求公司披露的網(wǎng)絡(luò)安全事件詳細(xì)信息具體如下(在提交表格8-K時(shí)可用):
- 發(fā)現(xiàn)日期和事件狀態(tài)(正在進(jìn)行或已解決)。
- 對(duì)事件性質(zhì)和范圍的簡(jiǎn)要描述。
- 未經(jīng)授權(quán)可能被泄露、更改、訪問或使用的任何數(shù)據(jù)。
- 該事件對(duì)公司經(jīng)營(yíng)的影響。
- 有關(guān)公司正在進(jìn)行或已完成的補(bǔ)救措施的信息。
然而,ALPHV可能沒有注意到,該新規(guī)的生效日期是2023年12月15日。
SEC新規(guī)讓CISO成為高危職業(yè)
MeridianLink對(duì)此事件回應(yīng)稱:在確認(rèn)事件后,公司立即采取行動(dòng)以控制威脅,并聘請(qǐng)了第三方專家進(jìn)行調(diào)查。公司還在努力確定是否有消費(fèi)者個(gè)人信息受到此次網(wǎng)絡(luò)攻擊的影響,并將在確認(rèn)后通知受影響方。根據(jù)目前的調(diào)查,未發(fā)現(xiàn)未經(jīng)授權(quán)訪問其生產(chǎn)平臺(tái)的證據(jù),且此事件對(duì)業(yè)務(wù)造成的中斷影響很小。
那么問題來(lái)了,如果ALPHV聲稱的攻擊是事實(shí),那么MeridianLink向SEC提交的報(bào)告就有瞞報(bào)事件的可能,而MeridianLink的CISO可能面臨觸犯法律的風(fēng)險(xiǎn)。
根據(jù)SEC的新規(guī),如果企業(yè)瞞報(bào)網(wǎng)絡(luò)攻擊,而該企業(yè)的CISO看到SEC報(bào)告最終版本并意識(shí)到該文件誤導(dǎo)了SEC,那么該CISO就有責(zé)任向SEC檢舉揭發(fā),否則將面臨欺詐從犯的指控。
今年10月份,SEC對(duì)SolarWinds席信息安全官Timothy G.Brown提出指控,指控其在2020年Sunburst網(wǎng)絡(luò)攻擊期間和之前未披露“已知風(fēng)險(xiǎn)”且未準(zhǔn)確表述該公司的網(wǎng)絡(luò)安全措施,從而誤導(dǎo)投資者。這是CISO首次因瞞報(bào)事件而被SEC直接指控,被業(yè)界看作是導(dǎo)致CISO成為高風(fēng)險(xiǎn)職業(yè)的一個(gè)標(biāo)志性事件。
但令CISO進(jìn)退維谷的是,雖然SEC有舉報(bào)人保護(hù)機(jī)制,但只有當(dāng)CISO的檢舉內(nèi)容屬實(shí)且公司確實(shí)存在欺詐(瞞報(bào))行為時(shí),舉報(bào)人保護(hù)機(jī)制才會(huì)啟動(dòng)。如果CISO判斷有誤,就不會(huì)有任何保護(hù)措施,被舉報(bào)公司可用各種可用方法對(duì)CISO進(jìn)行報(bào)復(fù)。
勒索軟件的“催收”和“增收”新策略
舉報(bào)MeridianLink的ALPHV勒索軟件組織以其持續(xù)不斷調(diào)整和完善攻擊技術(shù)和業(yè)務(wù)策略而著稱,是最“敏捷”的勒索軟件組織之一。
根據(jù)GRIT發(fā)布2023年勒索軟件報(bào)告,ALPHV是二季度第二活躍的勒索軟件組織,受害者數(shù)量比第一季度增加了50%,在2023年最活躍最多產(chǎn)的十大勒索軟件組織中排名第二,僅次于LockBit:
雖然包括ALPHV等頭部勒索軟件組織在2023年開足馬力“收割”知名企業(yè),但贖金收入?yún)s呈下滑趨勢(shì)。根據(jù)勒索軟件事件響應(yīng)公司Coveware的一份報(bào)告,今年第二季度遭受勒索軟件攻擊的付費(fèi)受害者數(shù)量“降至34%,創(chuàng)歷史新低。
“轉(zhuǎn)化率”和收入的暴跌迫使ALPHV這樣的勒索軟件組織不斷創(chuàng)新其“催收”和“增收”策略。例如,據(jù)惡意軟件研究小組VX-Underground透露,ALPHV今年七月份推出了其數(shù)據(jù)泄漏網(wǎng)站的API和Python爬蟲工具,幫助相關(guān)人員(例如新聞媒體和安全研究人員)快速獲取最新的受害者名單和信息(下圖):
除了通過增加曝光量(甚至包括明網(wǎng)泄漏)外,一些勒索軟件組織開始采用“薄利多銷”的創(chuàng)收策略,即通過供應(yīng)鏈來(lái)入侵大量企業(yè)來(lái)提高贖金總收入。
例如,Clop勒索軟件通過其大規(guī)模的MOVEit漏洞利用竊取數(shù)據(jù),至少獲利7500萬(wàn)美元。
向行業(yè)主管部門投訴也是勒索軟件組織向受害者施壓的“催收”策略之一。在ALPHV之前,曾有許多勒索軟件組織威脅受害者要向SEC報(bào)告數(shù)據(jù)泄露和數(shù)據(jù)盜竊事件,但ALPHV是迄今首次公開證實(shí)的案例。
過去,勒索軟件組織經(jīng)常通過聯(lián)系受害者的客戶來(lái)告知數(shù)據(jù)泄漏情況,有時(shí)還會(huì)直接電話恐嚇受害者。不久前這種恐嚇進(jìn)一步升級(jí),有勒索軟件組織甚至威脅要對(duì)受害者采取物理攻擊和傷害,這是RaaS流行導(dǎo)致勒索軟件攻擊技術(shù)門檻進(jìn)一步降低后,勒索軟件“民主化”與黑社會(huì)活動(dòng)產(chǎn)生交集的一種新的全球性趨勢(shì)。