圖片來源: 

MeridianLink

勒索軟體集團威脅受害者支付贖金的招數愈來愈多,從早期加密受害者系統上的資料、竊取受害者資料,一直到最近,勒索軟體集團AlphV竟然直接向美國證券交易委員會(SEC)告狀,指控於美國紐約股市公開發行股票的MeridianLink並未如實對外揭露其遭到網路攻擊的意外事件。但迄今不管是SEC或MeridianLink都拒絕回應此事。

過去勒索軟體集團加密受害者系統資料時,以解密作為要脅,等到大多數企業都知道要備份系統時,勒索軟體集團開始竊取系統資料,並以外洩資料作為要脅,目的都是為了逼迫受害者支付贖金,而隨著SEC祭出新規定,要求上市公司要在4天內披露重大資安事件,也成為駭客的要脅手段。

MeridianLink專門提供各種解決方案予金融組織,包括端對端平臺、貸款發放系統、抵押貸款、開立存款帳戶、資料與報告等,客戶則涵蓋了銀行、信用合作社及抵押貸款機構。

而根據《DataBreaches》引用一名參與該攻擊的消息來源報導,AlphV是在11月7日入侵了MeridianLink,AlphV並未加密任何檔案,只是盜走了檔案,且當天MeridianLink便已知情,卻一直未修補被用來入侵的漏洞,一直到AlphV於15日公開將MeridianLink列為受害對象,MeridianLink才將其修補。

在這期間,儘管MeridianLink曾嘗試與AlphV聯繫,但之後卻幾乎沒有互動,使得AlphV決定向SEC告狀,指控MeridianLink沒有遵守網路安全事件的揭露規定。AlphV並與《DataBreaches》分享了向SEC打小報告的畫面。

SEC在今年7月通過了一項新規定,要求上市公司要在遭遇重大資安事件的4個工作天內,向外界揭露事發細節。不過,AlphV顯然沒有調查清楚,此一規定要到今年12月才生效,而且需屬於「重大」事件。

至於MeridianLink則回應,該起網路安全意外發生在11月10日,當天他們立即採取行動抑制了威脅範圍,同時也聘請第三方資安專家協助調查,並無證據顯示旗下各生產平臺遭到未經授權的存取,而且此一事件只造成了極小的業務中斷。

MeridianLink僅坦承遭到駭客入侵,並未證實是否收到SEC的通知,此外,當《Recorded Future News》向SEC求證時,SEC亦拒絕回應是否收到駭客的投訴。

熱門新聞

Advertisement