Hackergruppen stal data från fintech-företaget Meridianlinks nätverk den 7 november och försökte sedan förhandla till sig lösensumma för att inte läcka den stulna datan.
När det misslyckades valde hackergruppen att skicka klagomål till USA:s myndighet för handel med värdepapper, SEC, om att företaget inte anmält dataintrånget i tid.
Från och med den 15 december måste alla börsnoterade företag i USA rapportera cyberattacker som kan ha ”betydande påverkan på investeringsbeslut” inom fyra arbetsdagar.