SentinelLabs onderzoekt een nieuwe tactiek van cybercriminelen die een nieuwe wettelijke rapportageverplichting na een cyberaanval uitbuit. Cybercriminelen blijven creatieve manieren ontwikkelen om bedrijven af te persen. Zo dreigden cybercriminelen – nadat ze waren ingebroken – met aangifte bij de U.S. Securities and Exchange Commission (SEC) als MeridianLink, een financiële dienstverlener, niet binnen 24 uur zou betalen.
Op 7 november brak de ALPHV-bende BlackCat zonder ransomware in bij MeridianLink. Het bedrijf verklaarde vervolgens op 10 november op de hoogte te zijn van de inbreuk. Op 15 november voegde ALPHV MeridianLink toe aan de op TOR gebaseerde datalekken-website, samen met uittreksels en screenshots van de klacht die ze indienden bij de SEC, waarin ze beweerden dat de onderneming had nagelaten om de inbreuk binnen vier dagen te melden.
Afpersing door handig gebruik te maken van de wet
Medio 2023 keurde de SEC bijgewerkte vereisten goed met betrekking tot het melden van cyberincidenten. Volgens deze nieuwe vereisten moeten alle bedrijven – willen ze geen zware financiële boetes riskeren – incidenten op het gebied van cybersecurity, met alle relevante details, binnen vier dagen melden. De nieuwe vereisten zijn vanaf 18 december 2023 geldig voor grote organisaties en vanaf juni 2024 voor alle andere organisaties. Cybercriminelen zoals de BlackCat-bende hebben echter al tactieken toegepast om de nieuwe regels te misbruiken om slachtoffers te bedreigen, nog voordat ze van kracht zijn geworden.
Hoewel – in het geval van MeridianLink – de nieuwe regels nog niet van kracht waren, is het duidelijk dat cybercriminelen dit in de toekomst kunnen gebruiken als tactiek om slachtoffers onder druk te zetten. Het doel lijkt te voorkomen dat organisaties tijd rekken om de schade te beperken, te onderhandelen over de hoogte van de betaling of op een andere manier te voorkomen dat ze hun partners, klanten en andere betrokken partijen op de hoogte stellen.
Conclusie
Juridische kaders zoals de nieuwe regels van de SEC, GDPR-regelgeving en bestaande wetten worden misbruikt om meer druk uit te oefenen op kwetsbare organisaties. Met deze nieuwe tactieken proberen cybercriminelen slachtoffers te dwingen om in te gaan op losgeldeisen door angst aan te wakkeren voor zowel juridische aansprakelijkheid als reputatieschade.
De opkomst van deze tactieken onderstreept de noodzaak voor organisaties om hun cybersecurity te versterken, te zorgen dat ze voldoen aan de wettelijke vereisten en voorbereid te zijn op nieuwe dreigingen. Cybercriminelen blijven creatieve manieren ontwikkelen om bedrijven af te persen. Organisaties moeten waakzaam blijven en zich aanpassen om zich tegen deze alsmaar veranderende dreigingen te verdedigen.
Meer informatie is te vinden in deze blogpost: https://www.sentinelone.com/blog/leveraging-the-law-exposing-incriminating-data-and-other-new-tactics-in-cyber-extortion/
Meer lezen