'Cybercriminelen gebruiken wettelijke rapportageverplichtingen voor afpersing'
Cybercriminelen spelen op een nieuwe wettelijke rapportageverplichting na een cyberaanval. Zo dreigden cybercriminelen - nadat ze waren ingebroken - met aangifte bij de U.S. Securities and Exchange Commission (SEC) als MeridianLink, een financiële dienstverlener, niet binnen 24 uur zou betalen.
Hiervoor waarschuwt SentinelLabs, de onderzoekstak van SentinelOne. Het waarschuwt dat cybercriminelen creatieve manieren ontwikkelen om bedrijven af te persen. Een voorbeeld is een cyberinbraak van de LPHV-bende BlackCat bij MeridianLink op 7 november, waarbij geen gebruik is gemaakt van ransomware. Het bedrijf maakte vervolgens op 10 november bekend getroffen te zijn door de inbreuk. Op 15 november voegde ALPHV MeridianLink toe aan de op TOR gebaseerde datalekken-website, samen met uittreksels en screenshots van de klacht die ze indienden bij de SEC, waarin ze beweerden dat de onderneming had nagelaten om de inbreuk binnen vier dagen te melden.
Nieuwe regels misbruiken
Medio 2023 keurde de SEC bijgewerkte vereisten goed met betrekking tot het melden van cyberincidenten. Volgens deze nieuwe vereisten moeten alle bedrijven - willen ze geen zware financiële boetes riskeren - incidenten op het gebied van cybersecurity, met alle relevante details, binnen vier dagen melden. De nieuwe vereisten zijn vanaf 18 december 2023 geldig voor grote organisaties en vanaf juni 2024 voor alle andere organisaties. Cybercriminelen zoals de BlackCat-bende hebben echter al tactieken toegepast om de nieuwe regels te misbruiken om slachtoffers te bedreigen, nog voordat ze van kracht zijn geworden.
Hoewel - in het geval van MeridianLink - de nieuwe regels nog niet van kracht waren, is het duidelijk dat cybercriminelen dit in de toekomst kunnen gebruiken als tactiek om slachtoffers onder druk te zetten. Het doel lijkt te voorkomen dat organisaties tijd rekken om de schade te beperken, te onderhandelen over de hoogte van de betaling of op een andere manier te voorkomen dat ze hun partners, klanten en andere betrokken partijen op de hoogte stellen.
Angst voor juridische aansprakelijkheid en reputatieschade
Juridische kaders zoals de nieuwe regels van de SEC, GDPR-regelgeving en bestaande wetten worden misbruikt om meer druk uit te oefenen op kwetsbare organisaties. Met deze nieuwe tactieken proberen cybercriminelen slachtoffers te dwingen om in te gaan op losgeldeisen door angst aan te wakkeren voor zowel juridische aansprakelijkheid als reputatieschade.
De opkomst van deze tactieken onderstreept de noodzaak voor organisaties om hun cybersecurity te versterken, te zorgen dat ze voldoen aan de wettelijke vereisten en voorbereid te zijn op nieuwe dreigingen. Cybercriminelen blijven creatieve manieren ontwikkelen om bedrijven af te persen. Organisaties moeten waakzaam blijven en zich aanpassen om zich tegen deze alsmaar veranderende dreigingen te verdedigen.
Meer informatie is hier beschikbaar.