A Comissão de Valores Mobiliários dos Estados Unidos (SEC) informou ao mercado ontem que está multando quatro empresas por enganar intencionalmente os investidores sobre a gravidade da violação da SolarWinds, que ocorreu em setembro de 2019 e foi revelada em 2020. As empresas são Unisys, Avaya, Check Point Software e Mimecast. O ataque foi conduzido pelo grupo APT29 (também conhecido como Cozy Bear ou Turla Group, supostamente patrocinado pela Rússia) e comprometeu a empresa de monitoramento de rede SolarWinds, sediada nos EUA. O comprometimento resultou em um dos maiores ataques à cadeia de suprimentos da história, pois o grupo inseriu cargas maliciosas nas atualizações da cadeia de ferramentas SolarWinds Orion.
A Comissão de Valores Mobiliários dos Estados Unidos anunciou as seguintes multas:
- Unisys: US$ 4.000.000
- Avaya: US$ 1.000.000
- Check Point Software: US$ 995.000
- Mimecast: US$ 990.000
De acordo com a comunicação da SEC, a Unisys, a Avaya e a Check Point descobriram a violação em 2020, e a Mimecast em 2021: O agente de ameaça por trás do incidente do SolarWinds Orion acessou seus sistemas sem autorização, mas cada empresa “negligentemente minimizou seu incidente de segurança cibernética em suas divulgações públicas. A ordem da SEC contra a Unisys conclui que a empresa descreveu seus riscos de eventos de segurança cibernética como hipotéticos, apesar de saber que havia sofrido duas intrusões relacionadas à SolarWinds envolvendo exfiltração de gigabytes de dados.”
A nota também conclui que “essas divulgações materialmente enganosas resultaram em parte dos controles de divulgação deficientes da Unisys. A ordem da SEC contra a Avaya conclui que ela declarou que o agente da ameaça acessou um número limitado de mensagens de e-mail da [Empresa] quando a Avaya sabia que o agente da ameaça também havia acessado pelo menos 145 arquivos em seu ambiente de compartilhamento de nuvem.
A ordem da SEC contra a Check Point concluiu que ela sabia da intrusão, mas descreveu as intrusões cibernéticas e seus riscos em termos genéricos. A ordem que acusa a Mimecast conclui que a empresa minimizou o ataque ao não revelar a natureza do código que o agente da ameaça exfiltrou e o número de credenciais criptografadas que o agente acessou.
Veja o post original em: CisoAdvisor
