MeridianLink
勒索软体集团威胁受害者支付赎金的招数愈来愈多,从早期加密受害者系统上的资料、窃取受害者资料,一直到最近,勒索软体集团AlphV竟然直接向美国证券交易委员会(SEC)告状,指控于美国纽约股市公开发行股票的MeridianLink并未如实对外揭露其遭到网路攻击的意外事件。但迄今不管是SEC或MeridianLink都拒绝回应此事。
过去勒索软体集团加密受害者系统资料时,以解密作为要胁,等到大多数企业都知道要备份系统时,勒索软体集团开始窃取系统资料,并以外泄资料作为要胁,目的都是为了逼迫受害者支付赎金,而随著SEC祭出新规定,要求上市公司要在4天内披露重大资安事件,也成为骇客的要胁手段。
MeridianLink专门提供各种解决方案予金融组织,包括端对端平台、贷款发放系统、抵押贷款、开立存款帐户、资料与报告等,客户则涵盖了银行、信用合作社及抵押贷款机构。
而根据《DataBreaches》引用一名参与该攻击的消息来源报导,AlphV是在11月7日入侵了MeridianLink,AlphV并未加密任何档案,只是盗走了档案,且当天MeridianLink便已知情,却一直未修补被用来入侵的漏洞,一直到AlphV于15日公开将MeridianLink列为受害对象,MeridianLink才将其修补。
在这期间,尽管MeridianLink曾尝试与AlphV联系,但之后却几乎没有互动,使得AlphV决定向SEC告状,指控MeridianLink没有遵守网路安全事件的揭露规定。AlphV并与《DataBreaches》分享了向SEC打小报告的画面。
SEC在今年7月通过了一项新规定,要求上市公司要在遭遇重大资安事件的4个工作天内,向外界揭露事发细节。不过,AlphV显然没有调查清楚,此一规定要到今年12月才生效,而且需属于「重大」事件。
至于MeridianLink则回应,该起网路安全意外发生在11月10日,当天他们立即采取行动抑制了威胁范围,同时也聘请第三方资安专家协助调查,并无证据显示旗下各生产平台遭到未经授权的存取,而且此一事件只造成了极小的业务中断。
MeridianLink仅坦承遭到骇客入侵,并未证实是否收到SEC的通知,此外,当《Recorded Future News》向SEC求证时,SEC亦拒绝回应是否收到骇客的投诉。