La faille MeridianLink a pris une tournure dramatique, mettant en lumière l’évolution des stratégies des cybercriminels à l’ère numérique. Le groupe de ransomware ALPHV/BlackCat, connu pour ses tactiques d’extorsion sophistiquées, a maintenant déposé une plainte officielle auprès de la Securities and Exchange Commission des États-Unis. Cette décision audacieuse accuse MeridianLink, un important éditeur de logiciels, de ne pas avoir respecté la règle stricte de quatre jours imposée pour divulguer les cyberattaques.
Lors d’un développement récent, MeridianLink, connu pour ses solutions numériques destinées aux institutions financières telles que les banques, les coopératives de crédit et les prêteurs hypothécaires, s’est retrouvé mis en lumière sur le site de fuite de données de l’acteur menaçant.
L’enjeu est de taille : le groupe a lancé un ultimatum à MeridianLink, exigeant une rançon sous 24 heures pour empêcher la divulgation des données prétendument volées. Cette violation de MeridianLink marque une escalade significative dans les tactiques employées par les opérateurs de ransomwares, démontrant leur audace croissante dans le ciblage des grandes entreprises cotées en bourse.
En approfondissant la faille MeridianLink, nous découvrons d’autres couches de cette crise de cybersécurité. DataBreaches.net rapporte qu’ALPHV, également connu sous le nom de BlackCat, prétend avoir infiltré le réseau de MeridianLink le 7 novembre. Leur stratégie s’écartait du manuel typique des ransomwares : au lieu de chiffrer les systèmes de l’entreprise, ils auraient choisi d’exfiltrer les données sensibles.
Dans une tournure des événements, le groupe de ransomware a déclaré que même si MeridianLink semblait avoir initié le contact, aucune communication substantielle n’avait eu lieu concernant une rançon potentielle pour les données présumées volées. Ce silence apparent de MeridianLink a peut-être incité les cybercriminels à adopter une position plus agressive. Ils ont aggravé la situation en déposant une plainte auprès de la Securities and Exchange Commission (SEC) des États-Unis, accusant MeridianLink de ne pas avoir divulgué un incident de cybersécurité ayant compromis des données client et des informations opérationnelles vitales.
Pour donner de la crédibilité à leurs affirmations, ALPHV est allé jusqu’à afficher une capture d’écran sur son site Web, présentant le formulaire rempli sur la page Conseils, plaintes et références de la SEC. Dans leur communication à la SEC, les attaquants ont qualifié l’incident de « violation importante », alléguant le non-respect par MeridianLink des exigences de divulgation décrites dans le formulaire 8-K, au point 1.05.
Violation de données au Canada expose des informations sur le personnel du gouvernement
Cette situation fait écho à un contexte plus large d’escalade des menaces de cybersécurité aux États-Unis. En réponse à une recrudescence d’incidents tels que la violation de MeridianLink, la SEC a mis en œuvre de nouvelles réglementations. Ces règles exigent que les sociétés cotées en bourse signalent rapidement les cyberattaques susceptibles d’influencer sensiblement les décisions d’investissement. La faille MeridianLink met non seulement en évidence l’évolution des tactiques des groupes de ransomwares, mais souligne également l’importance cruciale d’une divulgation transparente et en temps opportun.
La nouvelle règle de la SEC stipule que de tels incidents doivent être signalés dans les quatre jours ouvrables après qu’une entreprise a reconnu l’importance de la violation.
Cependant, il y a un calendrier critique à considérer. Reuters a souligné début octobre que ces nouvelles règles de cybersécurité de la SEC devraient entrer en vigueur le 15 décembre 2023. Ce détail ajoute une couche de complexité à la situation de MeridianLink.
Intensifiant encore le drame, ALPHV a présenté sur son site la reconnaissance par la SEC de sa plainte contre MeridianLink. Cette décision constitue un effort clair de la part du groupe de ransomwares pour prouver la légitimité de leur soumission et démontrer que leurs actions ont des répercussions tangibles dans la sphère réglementaire.
La violation de MeridianLink est officiellement confirmée
Lors d’un développement récent, MeridianLink a reconnu la cyberattaque. Adressage BipOrdinateurla société a détaillé sa réponse immédiate à l’incident, en soulignant des actions rapides pour contenir la menace et l’implication d’experts tiers en cybersécurité pour mener une enquête approfondie.
MeridianLink est actuellement en train d’évaluer si des informations personnelles des consommateurs ont été compromises lors de la cyberattaque. La société assure qu’elle informera les personnes concernées si des données personnelles ont effectivement été affectées.
Dans une déclaration rassurante, MeridianLink a déclaré : « Sur la base de notre enquête menée à ce jour, nous n’avons identifié aucune preuve d’accès non autorisé à nos plates-formes de production, et l’incident a provoqué une interruption minime de nos activités. »
Ce scénario marque un moment important dans le paysage des ransomwares et des tactiques d’extorsion. Alors que de nombreux groupes de cybercriminels ont déjà menacé de signaler les violations à la SEC, cet incident impliquant MeridianLink pourrait être la première reconnaissance publique d’un tel rapport.
Historiquement, les auteurs de ransomwares ont exercé des pressions sur leurs victimes de diverses manières, notamment en informant les clients des victimes de la violation ou en intimidant directement la victime par le biais d’appels téléphoniques. La décision de l’ALPHV de déposer une plainte auprès de la SEC représente une escalade nouvelle et plus formelle dans les stratégies employées par ces cyber-extorsionnistes.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
