La larga resaca de un compromiso patrocinado por el estado de 2020 aún no ha terminado para SolarWinds, ya que el gigante del software atacado por los piratas informáticos del gobierno ruso tiene que pagar $ 26 millones a los accionistas y enfrentar una posible acción de cumplimiento por parte del gobierno federal.
En una presentación reciente de 8-K ante la Comisión de Bolsa y Valores de EE. UU., SolarWinds dijo que llegó a un acuerdo con los accionistas, quienes demandaron a la compañía alegando que fueron engañados sobre el hackeo de 2020. Los inversores acusaron a la casa de software, que fabrica herramientas de administración de redes utilizadas por corporaciones y departamentos gubernamentales, de tergiversar su seguridad y no monitorear adecuadamente los riesgos de ciberseguridad. SolarWinds no aceptará ninguna responsabilidad ni admitirá la culpa como parte de la demanda de los accionistas, si un tribunal acepta el acuerdo.
SolarWinds fue pirateado inicialmente en 2019 por piratas informáticos asociados con el servicio de inteligencia exterior de Rusia, que irrumpieron en la red de la empresa y colocaron una puerta trasera en el producto de gestión de red insignia de la empresa, Orion, que cuando se presentó como una actualización de software contaminada para los clientes, permitiendo a los piratas informáticos rusos acceder aún más a las redes de cada red que ejecuta el software SolarWinds comprometido. La noticia del ataque comenzó a surgir un año después, a fines de 2020.
Varios departamentos gubernamentales, incluidos la NASA, el Departamento de Justicia y Seguridad Nacional, se vieron comprometidos por la violación masiva, y la mayoría de las víctimas incluyeron empresas privadas, como el gigante de la seguridad FireEye, empresas Fortune 500 y hospitales y universidades.
Posteriormente, el gobierno de EE. UU. atribuyó el ataque al gobierno ruso como parte de una campaña de espionaje de larga duración.
En la misma presentación, SolarWinds también dijo que recibió un aviso de Wells de la SEC, informando a la compañía de la intención del regulador de presentar una acción de ejecución “con respecto a sus divulgaciones de seguridad cibernética y declaraciones públicas, así como a sus controles internos y procedimientos y controles de divulgación. .” SolarWinds dijo que sus divulgaciones y declaraciones públicas en el momento de la violación eran «apropiadas», pero no dio más detalles.
La SEC comenzó a investigar la violación de SolarWinds en 2021, incluso si algunas empresas no revelaron que se vieron afectadas por la violación y las acusaciones de posible uso de información privilegiada, según The Washington Post.
Los portavoces de la SEC, que no comenta sobre sus investigaciones, y SolarWinds, no respondieron a una solicitud de comentarios.