Había un mensaje en los recibos, en las impresoras de la empresa o en una llamada telefónica. Pero el grupo detrás del ransomware BlackCat (también conocido como ALPHV) está introduciendo otro método de presión que es, como mínimo, descarado. De hecho, presentó una denuncia ante la SEC (Comisión de Bolsa y Valores) contra una de sus presuntas víctimas. Le reprocha no haber respetado la regla de los cuatro días para revelar un ciberataque.

La víctima en cuestión es MeridianLink (que confirmó el ciberataque), una empresa que cotiza en bolsa y que suministra software a instituciones financieras (bancos, entidades de crédito, etc.). Su nombre apareció en el sitio web de BlackCat enumerando todos los objetivos del grupo. Este último explica haber penetrado en la red MeridianLink el 7 de noviembre para robar datos sin cifrar los sistemas. Como es habitual, se exigió un rescate para evitar la difusión de los datos robados.

Un medio adicional de presión.

BlackCat dice que "se comunicó con MeridianLink, pero no recibió un mensaje de ellos" para negociar. Molesta por este silencio, la banda decidió ejercer presión adicional sobre la empresa presentando una denuncia ante la SEC por exceder el plazo de notificación de un incidente de ciberseguridad que había afectado "los datos de los clientes y la información operativa".

Como prueba, BlackCat publicó una captura de pantalla del formulario completado. Ante la afluencia de incidentes de ciberseguridad, la SEC ha decidido modificar las normas sobre el plazo de notificación. En consulta con CISA (equivalente a Anssi en Estados Unidos), este plazo se aumenta a 72 horas después del descubrimiento del ataque (incluso estaba previsto 24 horas en caso de una campaña de ransomware). Este desarrollo, sin embargo, no entrará en vigor hasta el 15 de diciembre. BlackCat, por tanto, está un poco por delante, pero ofrece una visión general de su capacidad para innovar en este ámbito.