[English]Neue Volte im Katz-und-Maus-Spiel zwischen Ransomware-Gruppen und deren Opfer. Manche Opfer versuchen ja einen Cybervorfall geheim zu halten. Die Ransomware-Gruppe AlphV (auch als BlackCat bekannt) hat eine neue Volte im Bereich der Erpressung eingelegt. Mit Datum zum 15. November 2023 haben die Cyberkriminellen eine Beschwerde gegen ihr Opfer MeridianLink bei der US Börsenaufsicht (SEC) eingereicht, weil das Unternehmen der SEC einen Sicherheitsvorfall nicht gemeldet hat.
Anzeige
Ein Blog-Leser hat mich heute in einer privaten Nachricht auf Facebook auf diesen Sachverhalt aufmerksam gemacht (danke dafür). Das Kürzel SEC steht für Securities and Exchange Commission. Das ist die US-Börsenaufsichtsbehörde, die für die Kontrolle des Wertpapierhandels in den Vereinigten Staaten zuständig ist. Firmen müssen dort bestimmte Sachverhalte binnen einer gewissen Frist anzeigen.
MeridianLink ist ein US-Anbieter eines Kreditvergabesystems und einer digitalen Kreditplattform für Finanzinstitute. Und dieses Unternehmen wurde Opfer der AlphV-Ransomware. Dabei haben die Cyberkriminellen nach eigenen Angaben auch Daten abgezogen. Normalerweise versuchen die Ransomware-Gangs Lösegeld zu erpressen, um verschlüsselte Daten zu entschlüsseln (hier nicht der Fall) sowie die Veröffentlichung der erbeuteten Daten zu verhindern.
AlphV infiziert MeridianLink
Databreaches.net berichtet nun hier über einen neuen Schritt der AlphV Ransomware-Gruppe. Der Ransomware-Gang war es am Dienstag, den 7. November 2023, in die IT-Systeme von MeridianLink einzudringen. Laut der Cybergruppe wurden zwar keine Daten verschlüsselt, aber Dateien konnten abgezogen werden. AlphV nahm am Folgetag Kontakt mit MeridianLink auf, um Lösegeld zu erpressen.
Die Gruppe AlphV gab gegenüber DataBreaches an, dass MeridianLink zuerst wohl nichts unternahm, die IT hat keine Sicherheitsupdates eingespielt, als sie von dem Vorfall erfuhren. Erst als AlphV den erfolgreichen Hack in ihren Blog aufgenommen und so öffentlich gemacht hat, sei die Schwachstelle, über die die Angreifer eindringen konnten, geschlossen worden.
Anzeige
DataBreaches wurde von der Cybergruppe AlphV kontaktiert und erfuhr auf Nachfrage, dass sich zwar jemand von MeridianLink irgendwann an AlphV gewandt habe. Es habe aber keine Interaktion zwischen den Angreifern und dem Unternehmen gegeben. Als Grund wurde genannt, dass das Unternehmen "offline sei". Es wurde also kein Lösegeld gezahlt.
AlphV meldet Opfer bei der SEC
Nun haben die Cyberkriminellen den nächsten Schritt eingeleitet und eine Beschwerde gegen MeridianLink bei der US Börsenaufsicht SEC eingereicht. Firmen müssen neuerdings binnen 4 Tagen eine Meldung über Cybervorfälle bei Behörden wie der US-Börsenaufsicht einreichen, was wohl unterblieben ist. Auf den MeridianLink-Seiten wirbt der Anbieter zwar mit Vertrauen und Sicherheit, hat den Cyberangriff bisher aber wohl geheim gehalten.
Source: DataBreaches.net
In einer Kopie der SEC-Beschwerde, die DataBreaches.net zugegangen ist, schreiben die Cyberkriminellen, dass sie die Behörde auf ein Problem aufmerksam machen möchten, das die Einhaltung der kürzlich verabschiedeten Regeln zur Offenlegung von Cybersecurity-Vorfällen durch MeridianLink betrifft. Sie geben an, dass sie darauf aufmerksam geworden seien, dass MeridianLink es versäumt habe, die erforderliche Offenlegung gemäß Punkt 1.05 des Formulars 8-K innerhalb der vorgeschriebenen vier Geschäftstage einzureichen, wie es die neuen SEC-Regeln vorschreiben, nachdem eine bedeutende Sicherheitsverletzung stattgefunden habe, die Kundendaten und betriebliche Informationen gefährdet.
DataBreaches.net hat dann bei MeridianLink diesbezüglich nachgefragt und recht schnell eine Antwort erhalten. Dort schreibt das Unternehmen, dass man den Schutz der Daten seiner Kunden und Partner sehr ernst nehme. MeridianLink habe kürzlich einen Vorfall im Bereich der Cybersicherheit festgestellt, der sich am 10. November 2023 ereignet habe. Nach der Entdeckung am selben Tag so sofort gehandelt worden, um die Bedrohung einzudämmen und ein Team von externen Experten wurde beauftragt, den Vorfall zu untersuchen.
Nach bisherigen Untersuchungen hätten sich keine Hinweise auf einen unbefugten Zugriff auf die Produktionsplattformen ergeben. Und der Vorfall habe nur eine minimale Betriebsunterbrechung verursacht. Da die Untersuchung noch nicht abgeschlossen sei, können man derzeit keine weiteren Einzelheiten bekannt geben. DataBreaches.net schreibt in einem Nachsatz noch, dass sie keine Juristen seien, aber die Geschichte mit der SEC-Meldung steht Spitz-auf-Knopf. Denn die neue Regel mit einer Meldepflicht binnen 4 Tagen soll erst ab dem 15. Dezember 2023 gelten. Es ist auf jeden Fall eine neue Entwicklung, die da von der Ransomware-Gruppe beschritten wurde – inklusive zusätzliche Aufmerksamkeit.
Ergänzung: MeridianLink hat nun den Cybervorfall gemäß diesem Beitrag bestätigt.
Anzeige
Transparenz!
Vollumfänglicher Kundensupport ;-)
Ich vermute ja eher, die Anfreifer haben Leerverkäufe deren Aktien gemacht und müssen jetzt dringend günstig nachkaufen.
Top, erst ein paar Bitcoins abgreifen und dann am Aktionmarkt spekulieren. Der Markt regelt sich so lange selbst, bis ein paar "Große" Verluste machen, dann werden fix die Börsen geschlossen bzw. der Handel ausgesetzt (vgl. Gamestop Aktie).
Dann könnte die neue Taktik sein: ein Angreifer behauptet evtl. auch inkl. fingierter "Beweise", dass Unternehmen xyz gehackt worden ist und meldet das (in den USA an die SEC – aber auch in Deutschland gibt es ja Zeitfenster, in denen einige Unternehmen melden müssen).
Unternehmen xyz muss nun darauf reagieren und erst mal nachweisen, dass nichts passiert ist. Öffentlich geworden ist es dann aber auch schon. Das bekommt man doch gar nicht mehr in den Griff, obwohl evtl. gar nichts passiert ist.
Und wie sicher willst Du sein, dass nicht wirklich jemand eingedrungen ist. Crazy das Ganze.