勒索软件团伙欲迫使受害者支付赎金，竟向美国证交会举报 - 《华尔街日报》

黑客的威胁来自内部。一个勒索软件团伙上周声称侵入了金融科技平台MeridianLink 的系统。此次入侵已向监管机构报告。

公司并未按新规要求主动上报，反倒是黑客代劳了。

美国证券交易委员会的新规将于下月生效，要求遭黑客攻击的企业在发现具有重大影响的网络安全事件后四天内向投资者披露。

名为AlphV（又称Black Cat）的黑客组织不等新规生效，就利用披露威胁向公司施压以满足其赎金要求。

MeridianLink在AlphV公开入侵事件后予以承认，表示该事件造成的业务中断微乎其微，若确认涉及消费者个人信息将依法通知。公司称已聘请第三方调查此事。

“MeridianLink未履行一周前遭遇入侵的披露义务，“AlphV在线上声明中写道，“我们因此举报了其违规行为。”

风险咨询公司Kroll全球政府事务主管约翰·班尼特表示，近年来勒索组织常通过向客户、投资者甚至员工家属发送信息来施压支付赎金。

“这只是向企业施压、迫使其就范的新手段，”他在谈及该团体向美国证券交易委员会（SEC）提交的投诉时表示。

尽管安全专家认为AlphV向SEC举报更像是一场公关噱头，但这也揭示了企业在应对黑客攻击和勒索软件事件时面临的新风险。

“如今不法分子已经意识到，美国监管环境正使企业面临日益严峻的威胁，”富而德律师事务所美国数据安全主管、前曼哈顿联邦检察官办公室网络犯罪部门负责人蒂姆·霍华德指出。

除新出台的披露规则外，SEC去年还宣布其负责加密货币案件及网络犯罪的部门规模将扩大近一倍。该机构近期指控SolarWinds公司及其首席信息安全官涉嫌欺诈，称这家软件公司在2020年公开宣称遭遇重大黑客攻击前，刻意夸大了自身网络安全防护能力。

SolarWinds公司回应称SEC的指控存在根本性错误，并表示将积极应诉。

AlphV今年早些时候宣称对美高梅国际酒店集团的高调网络攻击负责。由于拒绝支付赎金导致赌场业务瘫痪，该集团预计将遭受1亿美元收益损失。

罗伯特·麦克米伦对本文有所贡献。

联系本·福迪，邮箱：[email protected]

刊登于2023年11月20日印刷版，标题为《勒索软件团伙向SEC举报其受害者》。