La empresa de software financiero MeridianLink ha confirmado que se enfrenta a un ciberataque en el que los piratas informáticos responsables tomaron "medidas extraordinarias" para obligar a la empresa a pagar un rescate. MeridianLink, que generó más de $76 millones en ingresos el último trimestre, proporciona herramientas a bancos, cooperativas de crédito, prestamistas hipotecarios y agencias de informes de consumidores de EE. UU.


Esta semana, la compañía apareció en el sitio de filtraciones AlphV/BlackCat, una banda de ransomware que se cree tiene su sede en Rusia y que ha estado involucrada en una serie de ataques descarados, incluso contra MGM Resorts.

Un portavoz de MeridianLink confirmó a RecordedFutureNews que recientemente descubrieron un incidente de ciberseguridad.

"Al descubrirlo, tomamos medidas inmediatas para contener la amenaza y contratamos a un equipo de expertos externos para investigar el incidente. Según nuestra investigación hasta la fecha, no hemos encontrado evidencia de acceso no autorizado a nuestra plataforma de producción, y el incidente causó una interrupción mínima del negocio. Si determinamos que cualquier información personal del consumidor estuvo involucrada en este incidente, proporcionaremos las notificaciones requeridas por la ley", dijo el portavoz.

El ataque ha despertado el interés de los investigadores de seguridad porque el grupo de ransomware AlphV afirmó en su "sitio web oficial" que habían denunciado a MeridianLink a la Comisión de Bolsa y Valores de EE. UU. (SEC) por no notificar a los reguladores del incidente, que, según afirmaron, ocurrió hace una semana y que la víctima no cumplió con sus obligaciones de divulgación.

Más tarde, la banda de ransomware compartió una foto de un formulario que envió a la SEC y afirmó falsamente que MeridianLink violó las nuevas reglas de informes de alto perfil de la SEC, cuando en realidad no entrarán en vigor hasta el próximo mes.

Si la norma entra en vigor, la empresa estaría obligada a informar de un incidente cibernético "significativo" dentro de los cuatro días siguientes a su descubrimiento. Las empresas y los ejecutivos de ciberseguridad todavía están debatiendo qué es lo que la SEC considera "significativo", y la SEC planea emitir más orientación sobre el término.

Pero en el Foro Cibernético de Aspen esta semana, varios funcionarios gubernamentales confirmaron que las reglas no significan informar un ataque cuatro días después de su descubrimiento, sino sólo cuando se considera que un ataque tiene un impacto significativo en los resultados de una empresa.

Un portavoz de la SEC se negó a hacer comentarios cuando se le preguntó si se requería el formulario o MeridianLink para informar el incidente.

Esta descarada medida es la última táctica de extorsión utilizada por las bandas de ransomware que buscan extorsionar a sus víctimas por cualquier medio necesario. Este verano, otra banda de ransomware amenazó con denunciar a las empresas ante los reguladores europeos por presuntas violaciones del Reglamento General de Protección de Datos (las leyes de privacidad y protección de datos en la UE tienen consecuencias significativamente mayores que en los Estados Unidos) si no pagaban el rescate.

Jim Doggett, CISO de la empresa de ciberseguridad Semperis, dijo a Recorded Future News que la medida, aunque llamativa, podría convertir a la pandilla en un objetivo para las agencias policiales estadounidenses.

"Si quieren seguir siendo rentables, no sería prudente atraer atención innecesaria", afirmó.

Ilia Kolochenko, director general de la empresa de seguridad de aplicaciones ImmuniWeb, señaló que es previsible un abuso de las nuevas normas de la SEC para ejercer presión adicional sobre las empresas públicas.

"Cuando las víctimas no revelan las vulnerabilidades dentro de los límites de tiempo legalmente establecidos, es probable que los actores del ransomware comiencen a presentar quejas ante otros reguladores de EE. UU. y la UE. Aún así, no todos los incidentes de seguridad son violaciones de datos, y no todas las violaciones de datos son violaciones de datos reportables", dijo Kolochenko, quien también es profesor adjunto de ciberseguridad y derecho en Capitol Technology University.

"Por lo tanto, los reguladores y las autoridades deberían examinar cuidadosamente tales informes y tal vez incluso establecer una nueva regla para ignorar los informes que no estén respaldados por pruebas creíbles. De lo contrario, las quejas exageradas o incluso completamente falsas inundarán sus sistemas con ruido y paralizarán su trabajo".