Nenhum comentário

Cyber e TI falsificaram incidente grave

A Comissão de Valores Mobiliários dos Estados Unidos (SEC) informou ao mercado ontem que está multando quatro empresas. Elas enganaram intencionalmente os investidores sobre a gravidade da violação da SolarWinds. Que ocorreu em setembro de 2019 e foi revelada em 2020. As empresas são Unisys, Avaya, Check Point Software e Mimecast. O ataque foi conduzido pelo grupo APT29 (também conhecido como Cozy Bear ou Turla Group, supostamente patrocinado pela Rússia). Ele comprometeu a empresa de monitoramento de rede SolarWinds, sediada nos EUA. O comprometimento resultou em um dos maiores ataques à cadeia de suprimentos da história. Pois o grupo inseriu cargas maliciosas nas atualizações da cadeia de ferramentas SolarWinds Orion.

A Comissão de Valores Mobiliários dos Estados Unidos anunciou as seguintes multas:

  • Unisys: US$ 4.000.000
  • Avaya: US$ 1.000.000
  • Check Point Software: US$ 995.000
  • Mimecast: US$ 990.000

De acordo com a comunicação da SEC, a Unisys, a Avaya e a Check Point descobriram a violação em 2020, e a Mimecast em 2021: O agente de ameaça por trás do incidente do SolarWinds Orion acessou seus sistemas sem autorização, mas cada empresa “negligentemente minimizou seu incidente de segurança cibernética em suas divulgações públicas. A ordem da SEC contra a Unisys conclui que a empresa descreveu seus riscos de eventos de segurança cibernética como hipotéticos, apesar de saber que havia sofrido duas intrusões relacionadas à SolarWinds envolvendo exfiltração de gigabytes de dados.”

A nota também conclui que “essas divulgações materialmente enganosas resultaram em parte dos controles de divulgação deficientes da Unisys. A ordem da SEC contra a Avaya conclui que ela declarou que o agente da ameaça acessou um número limitado de mensagens de e-mail da [Empresa] quando a Avaya sabia que o agente da ameaça também havia acessado pelo menos 145 arquivos em seu ambiente de compartilhamento de nuvem.

E a ordem da SEC contra a Check Point concluiu que ela sabia da intrusão, mas descreveu as intrusões cibernéticas e seus riscos em termos genéricos. A ordem que acusa a Mimecast conclui que a empresa minimizou o ataque ao não revelar a natureza do código que o agente da ameaça exfiltrou e o número de credenciais criptografadas que o agente acessou.


Veja o post original em: CisoAdvisor

Leia outras notícias em nosso blog.

Você pode gostar também

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.