金融軟體公司MeridianLink 證實，該公司正在處理一起網路攻擊事件，事件背後的駭客採取了「非常措施」以迫使該公司支付贖金。MeridianLink 上季營收超過7,600 萬美元，為美國的銀行、信用社、抵押貸款機構和消費者報告機構提供工具。

本週，該公司被列入AlphV/Black Cat 的洩密網站，據信，該勒索軟體團夥總部位於俄羅斯，曾參與多起肆無忌憚的攻擊，包括攻擊美高梅國際酒店集團（MGM Resorts）。

MeridianLink 發言人向Recorded Future News 證實，他們最近發現了一起網路安全事件。

發言人說：”一經發現，我們立即採取行動遏制威脅，並聘請第三方專家團隊對事件進行調查。根據迄今為止的調查，我們沒有發現未經授權訪問我們生產平台的證據，該事件造成的業務中斷也微乎其微。如果我們確定此事件涉及任何消費者個人資訊，我們將按照法律規定發出通知。”

這次攻擊引起了安全研究人員的興趣，因為勒索軟體組織AlphV在其「官網」上聲稱，他們已經向美國證券交易委員會（SEC）報告了MeridianLink公司沒有向監管機構通報這一事件，他們聲稱這一事件發生在一週前，受害方沒有盡到揭露義務。

該勒索軟體團夥後來分享了一張它發送給美國證券交易委員會的表格照片，並錯誤地聲稱MeridianLink 違反了美國證券交易委員會備受關注的新報告規則，而事實上這些規則要到下個月才生效。

如果該規則生效，該公司需要在發現”重大”網路事件後的四天內報告該事件。公司和網路安全高管仍在爭論證交會認為什麼是”重大”，證交會計劃就該術語發布更多指南。

但在本週舉行的阿斯彭網路論壇（Aspen Cyber​​ Forum）上，幾位政府官員證實，這些規則並不意味著需要在發現攻擊事件四天后才上報，而是只有在認為攻擊事件對公司底線產生重大影響後才需要上報。

當被問及該表格或MeridianLink 是否需要報告該事件時，美國證券交易委員會發言人拒絕發表評論。

這項厚顏無恥的舉動是勒索軟體團夥使用的最新勒索手段，他們試圖使用一切必要手段從受害者身上勒索贖金。今年夏天，另一個勒索軟體團夥威脅說，如果公司不支付贖金，他們就會向歐洲監管機構舉報公司涉嫌違反《通用資料保護條例》（歐盟的隱私法和資料保護法律造成的後果相比美國明顯更大）。

網路安全公司Semperis 的CISO 吉姆-多格特（Jim Doggett）告訴《未來記錄新聞》（Recorded Future News），這一舉動雖然令人瞠目，但可能會讓該團夥成為美國執法機構的目標。

他說：”如果他們想保持盈利，吸引不必要的關注並不明智。”

應用程式安全公司ImmuniWeb 的執行長Ilia Kolochenko 指出，可以預見，濫用美國證券交易委員會的新規定對上市公司施加額外壓力是可以預見的。

“當受害者未能在法律規定的時限內披露漏洞時，勒索軟體行為者很可能會開始向其他美國和歐盟監管機構投訴。儘管如此，並不是所有的安全事件都是資料洩露，也不是所有的資料外洩都是可報告的資料洩露，”科洛琴科說，他同時也是國會科技大學網路安全和法律的兼職教授。

“因此，監管機構和主管部門應仔細審查此類報告，甚至可能製定一項新規則，對未經可信證據證實的報告不予理睬，否則，誇大甚至完全虛假的投訴將使他們的系統充斥噪音，使他們的工作陷入癱瘓。”