Hackers usam regras de divulgação da SEC contra alvos corporativos

Em um novo desenvolvimento perturbador, o grupo de ransomware ALPHV (também conhecido como BlackCat) apresentou uma queixa formal à Comissão de Valores Mobiliários dos Estados Unidos (SEC), alegando que uma vítima recente não cumpriu as novas regulamentações de divulgação.

De acordo com um informante da ALPHV, a queixa foi apresentada em 1º de novembro de 2023. A vítima, que não foi identificada, é uma empresa pública com sede nos Estados Unidos.

A queixa alega que a empresa não divulgou adequadamente um ataque de ransomware que sofreu em agosto de 2023. A ALPHV afirma que a empresa não revelou a extensão do ataque, o impacto financeiro que teve e as medidas que tomou para remediar o problema.

A SEC tem um conjunto de regras que exigem que as empresas públicas divulguem quaisquer eventos materiais que possam afetar o preço de suas ações. O não cumprimento dessas regras pode resultar em ações disciplinares da SEC, incluindo multas e até mesmo a proibição de negociação.

“O uso da ameaça de apresentar uma queixa de ‘não divulgação’ contra sua própria vítima à SEC é uma tática convincente que poderia munir um grupo cibercriminoso de uma regulamentação governamental para seu benefício”, alerta Jean-Philippe Tiquet, diretor de pesquisa de segurança da empresa de segurança Mandiant. “As ações disciplinares da SEC não devem ser tomadas de ânimo leve e as multas podem ser muito altas.”

Este é o primeiro caso conhecido de um grupo de ransomware usando as regras de divulgação da SEC contra uma vítima. No entanto, é provável que outros grupos de ransomware sigam o exemplo. Isso representa um novo risco para as empresas públicas, que agora precisam estar atentas a possíveis ataques de ransomware e às implicações de não divulgar adequadamente esses ataques.

Implicações para as empresas públicas

O ataque da ALPHV à SEC tem implicações significativas para as empresas públicas. As empresas devem estar cientes dos seguintes riscos:

• Risco de multas e sanções da SEC: Se uma empresa pública não divulgar adequadamente um ataque de ransomware, ela pode estar sujeita a multas e sanções da SEC. Essas sanções podem ser significativas, chegando a milhões de dólares.
• Risco de danos à reputação: O não cumprimento das regras de divulgação da SEC pode prejudicar a reputação de uma empresa pública. Isso pode levar a uma perda de confiança dos investidores e a uma queda no preço das ações.
• Risco de perda de negócios: O não cumprimento das regras de divulgação da SEC pode levar a uma perda de negócios. Os investidores podem se recusar a investir em empresas que não cumprem as regulamentações governamentais.

Recomendações para as empresas públicas

Para mitigar esses riscos, as empresas públicas devem tomar as seguintes medidas:

• Ter um plano de resposta a incidentes de ransomware: Um plano de resposta a incidentes ajudará as empresas a responder a ataques de ransomware de forma rápida e eficaz. O plano deve incluir um processo para divulgar adequadamente o ataque à SEC.
• Ter uma equipe de segurança cibernética experiente: Uma equipe de segurança cibernética experiente pode ajudar as empresas a prevenir ataques de ransomware e a responder a esses ataques de forma eficaz.
• Manter-se atualizado sobre as regulamentações governamentais: As empresas devem estar cientes das últimas regulamentações governamentais que se aplicam a elas. Isso ajudará as empresas a cumprir essas regulamentações e a evitar riscos.

O ataque da ALPHV à SEC é um lembrete importante de que as empresas públicas estão sujeitas a uma série de riscos, incluindo ataques de ransomware. As empresas públicas devem tomar medidas para mitigar esses riscos e proteger seus negócios.