A SEC (Securities and Exchange Commission) acusou quatro empresas—Unisys Corp, Avaya Holdings, Check Point Software e Mimecast—de supostamente induzirem os investidores ao erro sobre o impacto das violações que sofreram durante o massivo ataque de 2020 ao SolarWinds Orion.
"A Securities and Exchange Commission acusou hoje quatro empresas públicas, atuais e anteriores – Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd e Mimecast Limited – de fazerem divulgações materialmente enganosas a respeito de riscos de cibersegurança e intrusões", anuncia a SEC em um comunicado à imprensa de terça-feira(22).
A SEC também acusou a Unisys de violações dos controles de divulgação e procedimentos.
Essas empresas concordaram em pagar penalidades civis para resolver as acusações da SEC.
A Unisys pagará $4 milhões, a Avaya pagará $1 milhão, a Check Point pagará uma penalidade civil de $995.000, e a Mimecast pagará uma penalidade de $990.000.
Essas multas seguem após alegações da SEC de que a Unisys Corp, Avaya Holdings, Check Point Software e Mimecast minimizaram as violações que sofreram durante o ataque à cadeia de suprimentos do SolarWinds, deixando os investidores no escuro sobre o potencial impacto do ataque.
"Conforme as ordens da SEC, Unisys, Avaya e Check Point descobriram em 2020, e a Mimecast em 2021, que o ator de ameaça provavelmente por trás do hack do SolarWinds Orion havia acessado seus sistemas sem autorização, mas cada uma minimizou negligentemente seu incidente de cibersegurança em suas divulgações públicas", continua o anúncio da SEC.
A ordem da SEC contra a Unisys constata que a empresa descreveu seus riscos de eventos de cibersegurança como hipotéticos apesar de saber que havia sofrido duas intrusões relacionadas ao SolarWinds envolvendo a exfiltração de gigabytes de dados.
A investigação da SEC descobriu que a Avaya alegou que os atores de ameaça acessaram apenas um número limitado de mensagens de email quando sabiam que pelo menos 145 arquivos em seu ambiente de armazenamento na nuvem foram acessados também.
A investigação sobre a Check Point descobriu que a empresa sabia que havia sido violada, mas minimizou o impacto usando "termos genéricos".
Para a Mimecast, a SEC descobriu que a empresa minimizou o ataque ao não divulgar a natureza do código que foi roubado e o número de credenciais criptografadas acessadas durante a violação.
Em 2019, a empresa de software de TI SolarWinds foi violada pelo grupo de hackers patrocinado pelo estado russo conhecido como APT29, a divisão de hacking do Serviço de Inteligência Estrangeira da Rússia (SVR).
Como parte do ataque, os atores de ameaça adulteraram a plataforma de administração de TI SolarWinds Orion e as atualizações subsequentes lançadas entre março de 2020 e junho de 2020.
Essas atualizações maliciosas foram distribuídas aos clientes da SolarWinds para implantar uma variedade de malware, incluindo o backdoor Sunburst nos sistemas de "menos de 18.000" vítimas.
No entanto, os atacantes escolheram um número substancialmente menor de alvos para exploração de segunda fase.
Várias empresas e agências governamentais dos EUA depois confirmaram que foram violadas, incluindo Microsoft, FireEye, o Departamento de Estado, o Departamento de Segurança Interna (DHS), o Departamento do Tesouro, o Departamento de Energia (DOE), os Institutos Nacionais de Saúde (NIH) e a Administração Nacional de Segurança Nuclear (NNSA).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...