[21/11/2023] La banda de ransomware BlackCat ha empezado a abusar de las nuevas normas sobre notificación de incidentes cibernéticos de la Comisión del Mercado de Valores de Estados Unidos (SEC) para presionar a las organizaciones que se niegan a negociar el pago de rescates. Los atacantes ya han presentado una denuncia ante la SEC contra una de las víctimas, en un movimiento que probablemente se convierta en una práctica habitual una vez que la nueva normativa entre en vigor a mediados de diciembre.
El miércoles, los ciberdelincuentes responsables del ransomware BlackCat, también conocido como ALPHV, incluyeron a MeridianLink, un proveedor de soluciones de préstamos digitales para instituciones financieras, en su sitio web de filtración de datos que se utiliza para nombrar y avergonzar públicamente a las empresas supuestamente comprometidas por el grupo. La mayoría de las bandas de ransomware han adoptado esta doble táctica de extorsión en los últimos años para forzar la mano de las víctimas que no cooperan amenazándolas con vender o liberar los datos que los atacantes consiguieron robar.
De hecho, algunos grupos de ciberdelincuentes ni siquiera se molestan a veces en desplegar malware de cifrado de archivos y pasan directamente al chantaje de la filtración de datos. Este parece haber sido el caso de BlackCat y MeridianLink, según DataBreaches.net, que informó haber hablado con los atacantes. Al parecer, la brecha se produjo el 7 de noviembre y sólo implicó la exfiltración de datos.
Tras un contacto inicial por parte de alguien que representaba a la empresa, las comunicaciones se silenciaron, según los atacantes. Como resultado, el 15 de noviembre el grupo incluyó a la organización en su blog sobre filtración de datos, pero fue un paso más allá: Presentó una denuncia ante la SEC por no haber informado de lo que el grupo denomina "una violación significativa que compromete datos de clientes e información operativa" mediante el formulario 8-K, en el punto 1.05.
Las nuevas normas de la SEC obligan a informar de las violaciones importantes
Las nuevas normas de información sobre ciberseguridad de la SEC, que entrarán en vigor el 15 de diciembre, obligan a las empresas que cotizan en bolsa en Estados Unidos a revelar los incidentes de ciberseguridad que afecten a la situación financiera de la empresa y a sus operaciones en un plazo de cuatro días hábiles tras determinar que se ha producido un incidente de este tipo y que ha tenido un impacto material. "Que una empresa pierda una fábrica en un incendio -o millones de archivos en un incidente de ciberseguridad- puede ser material para los inversores", dijo en julio el presidente de la SEC, Gary Gensler, cuando la Comisión adoptó las nuevas normas.
Sin embargo, puede haber mucha incertidumbre entre las empresas y los ejecutivos sobre lo que es material o no. Las nuevas normas complicarán aún más el papel que pueden desempeñar los CISO en dichas declaraciones, ya que recientes acciones de la SEC demuestran que podrían ser considerados responsables de tergiversar la postura de ciberseguridad de una empresa y, ahora, el impacto de una violación de datos.
El mes pasado, la SEC presentó cargos contra SolarWinds y su CISO, Timothy G. Brown, por engañar a los inversores al no revelar "riesgos conocidos", y no representar con precisión las medidas de ciberseguridad de la empresa durante y antes del ciberataque del 2020 que afectó a miles de clientes de organismos gubernamentales y empresas de todo el mundo.
Será interesante ver cómo reacciona la SEC ante la posibilidad de que las bandas de ransomware se aprovechen de sus normas y del mecanismo de denuncia para chantajear a las víctimas, y si la agencia será más indulgente con la forma de hacer cumplir los nuevos requisitos de divulgación al principio.
"Esto supone una presión añadida para MeridianLink, que cotiza en bolsa, tras afirmar que se ha producido una brecha en su red y se han robado datos sin cifrar", explicó a CSO por correo electrónico, Ferhat Dikbiyik, jefe de investigación de la firma de gestión de riesgos cibernéticos Black Kite. "Esta medida ha sorprendido al sector y ha planteado dudas sobre la eficacia de las nuevas normas de la SEC en la lucha contra la ciberdelincuencia. También plantea la pregunta: ¿Tiene ALPHV filiales en Estados Unidos?".
La nueva táctica de ciberextorsión, una llamada de atención
"Aunque las normas de la SEC son un paso hacia la transparencia, los incidentes de MeridianLink y MGM revelan una verdad incómoda: el cumplimiento por sí solo no es suficiente", afirmó Dikbiyik. "La ciberseguridad es dinámica y requiere defensas sólidas, siempre activas, y estrategias proactivas. Esta es una llamada de atención para toda la industria".
"Aunque chocantes para muchos, los informes de que BlackCat delató a una de sus víctimas a la SEC no son sorprendentes en la economía del ransomware en constante evolución", sostuvo Jim Doggett, CISO de la firma de ciberseguridad Semperis, a CSO. "Algunos argumentarán que el movimiento de BlackCat es oportunista en el mejor de los casos, y que sólo están motivados por la codicia para forzar pagos más rápidos por parte de las víctimas. Otros dirán que este agresivo movimiento podría dejar al grupo en el punto de mira de las fuerzas de seguridad estadounidenses. Al fin y al cabo, las bandas de ransomware son organizaciones criminales, y su única motivación son los beneficios".
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú