- Cybercriminelen deinzen niet terug voor schimmige tactieken om hun slachtoffers extra onder druk te zetten.
- Ransomwaregroep ALPHV/BlackCat tilde spelletje dit tot een nieuw niveau.
- De groep deed aangifte bij de Amerikaanse beurswaakhond SEC, wegens het overtreden van de wet door hun slachtoffer.
- Lees ook: ‘Ex-medewerker ASML die bedrijfsgeheimen stal, ging daarna voor Huawei werken’
Dat cybercriminelen niet terugdeinzen voor vuile spelletjes, moge duidelijk zijn. Maar ransomwaregroep ALPHV/BlackCat tilde dit fenomeen het wel tot een heel nieuw niveau van brutaliteit.
De groep diende een klacht in bij de Amerikaanse beurswaakhond SEC tegen het bedrijf MeridianLink. Niet omdat dit softwarebedrijf de ransomwaregroep lastig viel, maar omdat MeridianLink zich niet aan de regels gehouden zou hebben, meldt BleepingComputer.
De SEC kondigde namelijk in oktober nieuwe regelgeving aan omtrent hoe beursgenoteerde bedrijven moeten omgaan met cyberaanvallen die impact hebben op de bedrijfsvoering. Mocht een bedrijf slachtoffer worden van een dergelijke aanval, dan moet dat binnen vier werkdagen bij de waakhond gemeld worden.
Maar dat laatste zou MeridianLink niet tijdig gedaan hebben. Iets wat ALPHV/BlackCat wist, want het was naar eigen zeggen zelf de partij die het netwerk van het softwarebedrijf binnen was gedrongen en privacygevoelige data had gestolen zonder systemen op slot te zetten.
De ransomwaregroep zou ook een dreigement bij het bedrijf neergelegd hebben, waarin men verklaarde de de data te zullen lekken als er geen betaling gedaan zou worden.
Om dat dreigement extra kracht bij te zetten, plaatsten de cybercriminelen screenshots van hun aangifte bij de SEC op hun eigen website.
Met het verklikken van het slachtoffer, hadden de cybercriminelen tot doel MeridianLink extra onder druk te zetten om contact op met ze op te nemen. De softwaremaker wist naar eigen zeggen van de aanval en had al hulp ingeroepen van derden om de impact in te schatten, voordat werd overwogen om contact op te nemen met ALPHV/BlackCat.
Toen ingeschakelde experts hadden bepaald dat de impact van de hack op de bedrijfsvoering van MeridianLink minimaal was en men geen bewijs kon vinden dat er daadwerkelijk data was gestolen, werd de chantagepoging van de cybercriminelen minder effectief.
Formeel gaan de nieuwe regels rond de meldplicht van cyberaanvallen in de VS overigens pas op 15 december van dit jaar officieel in, dus dat gaf MeridianLink ook wat speelruimte.