ALPHV/BlackCat 勒索軟件團伙將敲詐勒索提升到了一個新高度，該組織向美國證券交易委員會提交了一份投訴，指控其一名受害者未遵守“一旦遭遇網絡攻擊，需要在四天內披露”的有關規定。

早些時候，ALPHV/BlackCat 勒索軟件團伙將軟件公司 MeridianLink 列入了數據泄露名單，并威脅稱在 24 小時內未收到贖金，將泄露被盜數據。（MeridianLink 是一家上市公司，主要為銀行、信用社和抵押貸款機構等金融組織提供數字解決方案）

勒索軟件團伙向美國證券交易委員會“告密”

根據 DataBreaches.net 報道，ALPHV 勒索軟件團伙在 11月 7 日成功入侵了 MeridianLink 的網絡系統，并在未加密系統的情況下竊取了該公司數據。

值得一提的是，安全事件發生后，MeridianLink 曾表現出希望通過協商付款來“換取”不泄露被盜數據。然而隨著事態發展，MeridianLink 公司不愿意盡快支付贖金，這個舉動“迫使” ALPHV  組織不得不施加更大壓力，于是乎就向美國證券交易委員會（SEC）投訴 MeridianLink 沒有披露影響 "客戶數據和運營信息 "的網絡安全事件。

ALPHV 勒索軟件“惱羞成怒”（來源：Bleeping Computer）

為了證明投訴真實性，ALPHV 在其網站上公布 SEC 的提示、投訴和轉介頁面上填寫的表格截圖，顯示攻擊者向 SEC “告密”，MeridianLink 在遭受了 "重大違規"安全事件后，并沒有按照 8-K 表格 1.05 項的要求披露。

ALPHV 勒索軟件向 SEC 投訴 MeridianLInk（來源：Bleeping Computer ）

（注：根據美國證券交易委員會規定，美國機構發生安全事件后要在四個工作日內通報。值得一提的是，路透社在 10 月初曾指出美國證券交易委員會的網絡安全新規 2023 年 12 月 15 日才生效。）

ALPHV 勒索軟件還在其網站上提供了從美國證券交易委員會收到的針對 MeridianLink 投訴的回復。

SEC 回復 ALPHV 對 MeridianLInk 的投訴（來源：Bleeping Computer ）

MeridianLink 確認遭到網絡攻擊

MeridianLink 在給 BleepingComputer 的一份聲明中表示，發現遭受網絡攻擊后，公司立即采取行動控制威脅，并聘請第三方專家團隊進行調查。該公司還補充到目前仍在努力確定是否有任何消費者個人信息受到網絡攻擊的影響，如果有，一定會通知受影響的各方。

根據迄今為止掌握的資料，沒有發現任何證據表明生產平臺受到了未經授權的訪問，此次事件造成的業務中斷也微乎其微。——MeridianLink

此前，成功發動網絡襲擊后，勒索軟件組織會通知受害目標，并向其施加壓力。雖然也有一些勒索團伙曾威脅要向美國證券交易委員會報告漏洞和數據盜竊事件，但是從來沒有一個組織真正實施過，ALPHV 可能開了一個先河！

參考文章：https://www.bleepingcomputer.com/news/security/ransomware-gang-files-sec-complaint-over-victims-undisclosed-breach/