¡Insólito! Banda de ransomware BlackCat denunció a su víctima ante regulador en USA

MeridianLink fue víctima de un ransomware y no informó oportunamente el incidente ante la Comisión de la Bolsa de Valores (SEC) de los Estados Unidos. Para presionar el pago del rescate, la banda de ransomware los denunció a la entidad reguladora.

Este miércoles 15 de noviembre la banda de ransomware AlphV o BlackCat ingresó una denuncia formal contra una de sus víctimas por no informar oportunamente ante la Comisión de Bolsa y Valores de los Estados Unidos sobre un incidente informático ocurrido el pasado 7 de noviembre a raíz de un ciberataque que ellos perpetraron.

Lo insólito de la situación es que la banda cibercriminal utilizó los medios legales fijados por el regulador de ciberseguridad en los Estados Unidos para extorsionar a sus víctimas y así forzar el pago de un rescate.

Ese mismo día el actor de amenaza incluyó a la compañía de software MeridianLink, una empresa que ofrece soluciones digitales para organizaciones financieras como bancos, cooperativas de crédito y prestamistas hipotecarios, en su lista de entidades víctimas de filtración de datos con la amenaza de que harían pública la información robada a menos que se pagara un rescate en 24 horas.

De acuerdo a las nuevas reglas establecidas por la SEC, las entidades víctimas de ransomware deben informar sobre los incidentes que les afectaron materialmente en un plazo no superior a cuatro días.

BlackCat se valió de ese incumplimiento de la norma para presentar una denuncia contra su víctima ante la negativa de pagar por el rescate exigido.

“Queremos llamar su atención sobre un tema preocupante relacionado con el cumplimiento por parte de MeridianLink de las reglas de divulgación de incidentes de ciberseguridad recientemente adoptadas”, se lee en la denuncia que la propia banda divulgó a través del medio especializado en ciberseguridad DataBreaches.net, para posteriormente añadir que “nos ha llamado la atención que MeridianLink, a la luz de una violación significativa que compromete los datos del cliente y la información operativa, no ha presentado la divulgación requerida según el Artículo 1.05 del Formulario 8-K dentro de los cuatro días hábiles estipulados, según lo dispuesto por la nueva norma de la SEC”.

De acuerdo a los señalado por la banda cibercriminal, el incidente habría ocurrido el pasado 7 de noviembre, pero en el ciberataque no cifraron ningún archivo, aunque sí hubo exfiltración. Los cibercriminales aseguraron que MeridianLink estaba al tanto del incidente el día en que peste sucedió, pero no realizaron mejoras en sus sistemas hasta que fueron incluidos por los ciberatacantes en su lista de víctimas. Solo en esas circunstancias, la entidad afectada procedió a parchar la vía de acceso explotada por los cibercriminales.

Por su parte, la entidad afectada confirmó la ocurrencia del incidente, pero indicó que el ciberataque tuvo lugar el 10 de noviembre, y aseguró que desde ese momento actuaron para contener la amenaza, además de contratar un equipo de expertos investigar el incidente. La empresa aseguró que “según nuestra investigación hasta la fecha, no hemos identificado evidencia de acceso no autorizado a nuestras plataformas de producción y el incidente ha causado una interrupción mínima del negocio”.

De acuerdo a lo que informaron varios medios, la nueva regla de la SEC sobre los plazos para informar incidentes comienza a regir desde el próximo 15 de diciembre.

Si bien existen antecedentes sobre organizaciones cibercriminales que dicen que han utilizado este método para extorsionar a las organizaciones afectadas bajo la norma europea del GDPR, esta es la primera vez que existe evidencia pública sobre esta práctica.