Le groupe de rançon a signalé à la SEC les détails de la victime qu’il a ciblée.

Un des groupes de rançongiciels les plus actifs au monde a adopté une tactique inhabituelle – voire sans précédent – pour mettre la pression sur l’une de ses victimes afin qu’elle paie : déposer une plainte auprès de la Securities and Exchange Commission (SEC) des États-Unis. Cette tactique a été mise au jour dans un article publié mercredi sur le site web obscur géré par AlphV, un syndicat de la criminalité des rançongiciels en activité depuis deux ans. Après avoir affirmé avoir piraté le réseau de la société de prêt numérique cotée en bourse MeridianLink, les responsables d’AlphV ont publié une capture d’écran d’une plainte qu’ils ont affirmé avoir déposée auprès de la SEC via le site web de l’agence. Conformément à une règle récemment adoptée et qui entrera en vigueur le mois prochain, les sociétés cotées en bourse doivent déposer une déclaration auprès de la SEC dans les quatre jours suivant la notification d’une faille de sécurité ayant eu un impact « matériel » sur leur activité. « Nous voulons attirer votre attention sur un problème préoccupant concernant le respect par MeridianLink des nouvelles règles de divulgation d’incidents de cybersécurité », ont écrit les responsables d’AlphV dans la plainte. « Il est parvenu à notre connaissance que MeridianLink, suite à une importante brèche compromettant les données des clients et les informations opérationnelles, n’a pas déposé la déclaration requise en vertu de l’article 1.05 du formulaire 8-K dans les quatre jours ouvrables stipulés, comme le prévoit la nouvelle règle de la SEC. » La catégorie de violation sélectionnée dans le rapport en ligne était « Fausse déclaration ou omission matérielle dans les dépôts ou les états financiers d’une entreprise, ou non-dépôt ». La publication de mercredi sur le web obscur contenait également ce qui semblait être une réponse automatique de la SEC confirmant la réception de la plainte.