La SEC acusó a cuatro empresas (Unisys Corp, Avaya Holdings, Check Point Software y Mimecast) de supuestamente engañar a los inversores sobre el impacto de sus violaciones durante el hackeo masivo de SolarWinds Orion en 2020.
“La Comisión de Bolsa y Valores acusó hoy a cuatro empresas públicas actuales y anteriores – Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd y Mimecast Limited – de realizar revelaciones materialmente engañosas sobre riesgos e intrusiones en materia de ciberseguridad”, anunció la SEC en un martes presione soltar.
“La SEC también acusó a Unisys de violaciones de los controles y procedimientos de divulgación”.
Estas empresas acordaron pagar sanciones civiles para resolver los cargos de la SEC. Unisys pagará 4 millones de dólares, Avaya pagará 1 millón de dólares, Check Point pagará una multa civil de 995.000 dólares y Mimecast pagará una multa de 990.000 dólares.
Las multas se producen después de que la SEC alegara que Unisys Corp, Avaya Holdings, Check Point Software, Unisys Corp, Avaya Holdings, Check Point Software y Mimecast restaron importancia a las violaciones sufridas en el ataque a la cadena de suministro de Apple, dejando a los inversores en la oscuridad. consecuencias del ataque. impacto potencial.
“Según las órdenes de la SEC, Unisys, Avaya y Check Point se enteraron en 2020, y Mimecast se enteró en 2021, de que el actor malicioso probablemente detrás del hack de SolarWinds Orion había accedido a sus sistemas sin autorización, pero cada uno minimizó negligentemente su incidente de ciberseguridad en sus declaraciones públicas. divulgaciones”, continúa el anuncio de la SEC.
“La orden de la SEC contra Unisys determina que la compañía describió sus riesgos derivados de eventos de ciberseguridad como hipotéticos, a pesar de que sabía que había sufrido dos intrusiones relacionadas con SolarWinds que involucraron la exfiltración de gigabytes de datos”.
La investigación de la SEC encontró que Avaya afirmó que los actores de amenazas solo accedieron a una cantidad limitada de mensajes de correo electrónico a pesar de saber que también se consultaron al menos 145 archivos en su entorno de almacenamiento en la nube.
La investigación de Check Point encontró que la empresa sabía que había sido violada, pero minimizó el impacto utilizando “términos genéricos”.
Para Mimecast, la SEC descubrió que la compañía minimizó el ataque al no revelar la naturaleza del código robado o la cantidad de credenciales cifradas a las que se accedió durante la violación.
En 2019, la empresa de software SolarWinds fue pirateada por el grupo de piratería patrocinado por el estado ruso conocido como APT29, la división de piratería del Servicio de Inteligencia Exterior de Rusia (SVR).
Como parte del ataque, los actores de amenazas utilizaron un troyano en la plataforma de gestión de TI SolarWinds Orion y actualizaciones posteriores publicadas entre marzo de 2020 y junio de 2020.
Estas actualizaciones maliciosas se enviaron a los clientes de SolarWinds para que colocaran varios programas maliciosos, incluida la puerta trasera Sunburst, en los sistemas de “menos de 18.000” víctimas. Sin embargo, los atacantes seleccionaron un número significativamente menor de objetivos para la explotación en la segunda etapa.
Varias empresas estadounidenses y agencias gubernamentales confirmaron más tarde que habían sido violadas, incluidas Microsoft, FireEye, la Departamento de EstadoEL Departamento de Seguridad Nacional (EDS), el Departamento del Tesoroel Departamento de Energía (DOE), el Institutos Nacionales de Salud (NIH) y la Administración Nacional de Seguridad Nuclear (NNSA).