Một nhóm tin tặc đòi tiền chuộc (ransomware) sau khi chờ lâu không thấy nạn nhân trả tiền đã tố cáo nạn nhân vi phạm các quy định sắp có hiệu lực lên… Ủy ban Chứng khoán và Giao dịch (SEC)! Chiêu trò mới này (cũng để răn đe các nạn nhân tiếp theo) có khả năng làm tăng rủi ro cho các doanh nghiệp trước bọn tội phạm mạng.
Tận dụng quy định mới của SEC để làm ăn
Wall Street Journal cho biết, nhóm ransomware này đã đột nhập thành công vào hệ thống mạng của nền tảng fintech MeridianLink nhưng sau đó chúng có một động thái ngoạn mục “vừa ăn cướp vừa la làng” khi “mách lẻo” với SEC là công ty đã không trình báo sớm vụ đột nhập cho cơ quan quản lý, vi phạm các quy định mới buộc họ phải làm như thế.
Các quy định mới của SEC (sẽ có hiệu lực vào Tháng Mười Hai 2023) yêu cầu các công ty bị tội phạm mạng tấn công ở mức nghiêm trọng phải thông báo sự cố an ninh cho SEC và các cổ đông trong vòng bốn ngày kể từ lúc phát hiện vụ tấn công. Nhóm tin tặc (có biệt danh AlphV hay Black Cat) không đợi các quy tắc có hiệu lực mà đi trước một bước để vừa răn đe vừa nhắc nhở các nạn nhân khác là hãy nhanh chóng trả tiền chuộc cho chúng hoặc sẽ bị tố cáo với cơ quan quản lý. MeridianLink chỉ thừa nhận có vụ hack sau khi AlphV thông báo cho SEC.
Công ty cho biết vụ việc chỉ gây ra gián đoạn kinh doanh ở mức tối thiểu, không nghiêm trọng, và nếu tìm thấy có bất kỳ thông tin cá nhân nào của khách hàng bị ảnh hưởng sẽ thông báo ngay theo pháp luật quy định. MeridianLink đã thuê bên thứ ba để điều tra vụ việc. “Rõ ràng MeridianLink đã không hoàn thành nghĩa vụ trình báo sau khi bị đột nhập cách nay một tuần – AlphV lý lẽ trong một tuyên bố phát tán trên mạng – Vì vậy, chúng tôi phải báo cáo cho SEC sự không tuân thủ luật lệ này!”
John Bennett, người đứng đầu toàn cầu về các vấn đề chính phủ tại công ty tư vấn rủi ro Kroll, nhận định: “Trong những năm gần đây, các nhóm tấn công đòi tiền chuộc thường gửi tin nhắn đến khách hàng, nhà đầu tư và thậm chí cả thành viên gia đình của nhân viên để tăng áp lực thanh toán”. Về khiếu nại của AlphV lên SEC, ông nói: “Đây chỉ là một cách gây áp lực mới của bọn tội phạm để các công ty khác thấy mà làm gương. Trả tiền chuộc nhanh hoặc bị tố cáo tội che giấu”.
Các doanh nghiệp còn mệt dài dài với nạn tống tiền
Dù các chuyên gia bảo mật xem báo cáo của AlphV gửi cho SEC chỉ là “chiêu trò quảng cáo”, nhưng động thái này cũng cho thấy những nguy cơ mới mà các công ty phải đối mặt trong cách họ xử lý các vụ tấn công tiền chuộc. Tim Howard, người đứng đầu bộ phận bảo mật dữ liệu tại công ty Freshfields và là cựu giám đốc bộ phận tội phạm mạng tại Văn phòng công tố liên bang Manhattan giải thích: “Giờ đây, kẻ xấu đã phát hiện ra hệ thống pháp lý của Mỹ có những lỗ hổng gây rủi ro nhiều hơn cho các doanh nghiệp”.
Cùng với các quy định mới về trình báo, năm ngoái SEC thông báo đã tăng gần gấp đôi nhân sự của bộ phận chịu trách nhiệm về các vụ án tiền điện tử và tội phạm mạng. Gần đây cơ quan đã buộc tội công ty phần mềm SolarWinds và giám đốc an ninh thông tin của họ tội gian lận vì “SolarWinds đã phóng đại quá mức năng lực an ninh mạng của mình trước khi thừa nhận họ là nạn nhân của một vụ hack lớn trong năm 2020”.
SolarWinds biện minh: “Kết luận của SEC chứa những thiếu sót về cơ bản” và đã kháng cáo. Đầu năm nay, AlphV đã “ghi điểm” và thu hút sự chú ý trong một vụ hack nổi tiếng nhắm vào tập đoàn nghỉ dưỡng sòng bạc MGM Resorts International ở Las Vegas. Vụ đột nhập tống tiền này khiến công ty bị thiệt hại $100 triệu. Lý do: các sòng bạc bị tê liệt một thời gian vì không chịu trả tiền chuộc!