U najnovijem incidentu cyberr-napada, grupa hakera poznata kao ALPHV/BlackCat primjenila je neočekivanu taktiku nakon što su se uspješno infiltrirali u mrežu finansijske softverske kompanije. Umjesto tradicionalnih zahtjeva za otkup, hakeri su izabrali da prijave kompromitaciju podataka direktno Američkoj komisiji za hartije od vrijednosti i berzu (SEC).
Grupa, koja je ranije izvela napade na organizacije poput MGM Resorts i Reddit-a, navodno je provalila u servere kompanije MeridianLink 7. novembra, gde su nekriptovani podaci kompanije bili ukradeni. Kada pregovori s kompanijom nisu rezultirali željenim ishodom, hakeri su odlučili pojačati pritisak podnošenjem izvještaja SEC-u.
Ova neočekivana strategija hakeri su opravdali pozivajući se na novo pravilo koje je SEC usvojio tokom ljeta. Prema tom pravilu, kompanije koje postanu žrtve „materijalnih sajber-napada“ dužne su prijaviti ih agenciji u roku od četiri radna dana. Ipak, postoji nesigurnost u vezi sa stvarnim datumom stupanja na snagu ovog pravila. Dok zvanični obrazac tvrdi da bi pravilo trebalo da stupi na snagu 2. novembra, dokument Federalnog registra precizira da će se primenjivati na sve registrovane kompanije, osim manjih izveštajnih kompanija, od 18. decembra 2023. godine.
Kompanija MeridianLink, cilj hakera u ovom slučaju, tvrdi da je brzo reagovala kako bi neutralisala prijetnju. U saopštenju, kompanija navodi da njihova dosadašnja istraga nije otkrila dokaze o neovlaštenom pristupu proizvodnim platformama te da je incident prouzrokovao minimalne prekide u poslovanju. Međutim, kompanija još istražuje da li su lične informacije potrošača ugrožene i obećava da će obavestiti pogođene strane ako je do toga došlo.
Ostaje pitanje da li SEC ima ovlaštenje da preduzme neke korake zbog navodnog neuspjeha kompanije MeridianLink da prijavi incident u propisanom roku od četiri radna dana. Ironično, nova regulativa koja bi trebalo da štiti kompanije od sajber-napada može sada služiti kao oruđe za same napadače. Umjesto da komuniciraju direktno s kompanijama, hakeri sada mogu iskoristiti pravilo kako bi prijavili incident državnim agencijama, dodatno povećavajući pritisak na organizacije.
