Il y a eu un message sur les tickets de caisse, sur des imprimantes d’une entreprise ou un appel téléphonique. Mais le groupe derrière le ransomware BlackCat (aka ALPHV) inaugure une autre méthode de pression pour le moins culottée. En effet, il a déposé une plainte auprès de la SEC (Securities and Exchange Commission) contre l’une de ses victimes présumées. Il lui reproche de ne pas avoir respecté la règle des quatre jours pour divulguer un cyberattaque.
La victime en question est MeridianLink (qui a confirmé la cyberattaque), société cotée en bourse et fournissant des logiciels à destination des établissements financiers (banques, organismes de crédit,…). Son nom a été affiché sur le site de BlackCat recensant l’ensemble des cibles du groupe. Ce dernier explique avoir pénétré le réseau de MeridianLink le 7 novembre dernier pour voler des données sans chiffrer les systèmes. Comme à son habitude, une rançon a été demandée pour éviter la diffusion des données dérobées.
Un moyen de pression supplémentaire
BlackCat indique « avoir tendu la main à MeridianLink, mais ne pas avoir reçu de message de leur part » pour négocier. Contrarié par ce silence, le gang a décidé de mettre un coup de pression supplémentaire sur la firme en déposant une plainte auprès de la SEC pour dépassement du délai de notification d’un incident de cybersécurité ayant eu un impact sur « les données des clients et les informations opérationnelles ».
Pour preuve, BlackCat a publié une capture d’écran du formulaire rempli. Devant l’affluence d’incidents de cybersécurité, la SEC a décidé de modifier les règles sur le délai de notification. En concertation avec la CISA (équivalent de l'Anssi aux Etats-Unis), ce délai est porté à 72 heures après la découverte de l’attaque (il était même prévu 24h en cas de campagne de ransomware). Cette évolution toutefois ne rentrera en vigueur que le 15 décembre prochain. BlackCat est donc un peu en avance, mais donne un aperçu de sa capacité à innover en la matière.