Ransomware-Angriffe könnte man gut und gerne als Geißel des Internets bezeichnen. Während früher meist „nur“ die Daten verschlüsselt wurden, haben sich die meisten Angreifer mittlerweile auf die sogenannte „Double Extortion“-Strategie verlegt, bei der die erbeuteten Daten nicht nur verschlüsselt, sondern auch veröffentlicht werden, wenn das geforderte Lösegeld nicht gezahlt wird. Die Hintermänner der ALPHV/BlackCat-Ransomware haben nun eine Möglichkeit der „Triple Extortion“ gefunden, indem sie ihre Opfer zusätzlich bei der amerikanischen Börsenaufsicht, der U.S. Securities and Exchange Commission (SEC) anzeigen, sollten diese den Angriff nicht innerhalb der vorgeschriebenen vier Tage bei der Behörde melden.
Doch von vorne: In der vergangenen Woche wurde der Software-Hersteller MeridianLink auf der Leak-Webseite von ALPHV/BlackCat zur Liste der Opfer hinzugefügt, verbunden mit der Drohung, die bei dem Angriff gestohlenen Daten zu veröffentlichen, wenn nicht innerhalb von 24 Stunden ein Lösegeld gezahlt werde. MeridianLink ist ein börsennotiertes Unternehmen, das digitale Lösungen für Finanzinstitute wie Banken, Kreditgenossenschaften und Hypothekenfinanzierer anbietet. Die gestohlenen Daten könnten also durchaus einige Brisanz aufweisen – und der Angriff könnte Auswirkungen auf den Börsenkurs des Unternehmens haben.
Laut Aussage der Hacker fand der Angriff bereits am 7. November statt. Zu diesem Zeitpunkt drangen sie in das Netzwerk von MeridianLink ein und stahlen Unternehmensdaten, allerdings ohne die Systeme im Anschluss zu verschlüsseln. Zwar habe das Opfer seither versucht, Kontakt zu den Angreifern aufzunehmen, doch eine Nachricht, um ein Lösegeld zu verhandeln, liege noch nicht vor.
Das hat die Hacker offenbar dazu bewogen, den Druck auf das Unternehmen zu erhöhen, bevor sie den finalen Trumpf – also die gestohlenen Daten – ausspielen wollten. Also wurde eine Beschwerde bei der US-Börsenaufsicht SEC eingereicht, dass MeridianLink einen schwerwiegenden Sicherheitsvorfall, der sich auf Kundendaten und betriebliche Informationen auswirke, nicht offengelegt hatte. Als Beweis für diese Anzeige veröffentlichten die Angreifer einen Screenshot des ausgefüllten Online-Formulars für derartige Beschwerden auf der SEC-Homepage. Darin gaben sie an, dass es bei MeridianLink zu einen bedeutenden Sicherheitsvorfall gekommen war, der nicht, wie für börsennotierte Unternehmen im Formular 8-K unter Punkt 1.05 vorgeschrieben, gemeldet wurde. Außerdem wurde ein Screenshot der automatischen Antwort der SEC veröffentlicht, um zu beweisen, dass die Beschwerde tatsächlich abgeschickt wurde.
Diese Regelung für die Offenlegung von Sicherheitsvorfällen ist noch sehr neu – so neu sogar, dass sie erst am 15. Dezember in Kraft tritt, wie die Nachrichtenagentur Reuters Anfang Oktober berichtete. Ob die Anzeige für MeridianLink also tatsächlich Konsequenzen der SEC nach sich zieht, ist derzeit noch unklar. Mittlerweile hat das Unternehmen den Vorfall auch eingeräumt und angegeben, dass es derzeit noch daran arbeite, den Schaden zu untersuchen und herauszufinden, welche Daten tatsächlich betroffen sind. In einem Statement heißt es: „Unsere bisherigen Untersuchungen haben keine Hinweise auf einen unbefugten Zugriff auf unsere Produktionsplattformen ergeben, und der Vorfall hat nur minimale Betriebsunterbrechungen verursacht.“
Bild (c) René Schindler / Pixabay