Перевод с ооо на ип чем грозит: Перевод сотрудников ООО на ИП (порядок перехода с ООО на ИП)

Оба они поделились своим опытом и рекомендациями по ООО в рамках панельной дискуссии на ежегодном съезде AUTM 2015 в Новом Орлеане. Помимо МакГрата и Данбара, в группу под названием «Понимание последствий LLC» входили Кристин А. Ройтер, эсквайр, и Кристофер Ф. Райт, эсквайр, оба с МакКосландом Кином и Бакманом в Рэднор, PA.

Для TTO вполне естественно становиться все более и более открытыми для LLC, потому что, как сказал Райт в своей презентации, «львиная доля стартапов в настоящее время создается [в] LLC.«Это потому, что предпринимателя привлекают его уникальные преимущества. «Когда я начинаю компанию, будь она в университете или как независимый предприниматель, большую часть времени я открываю ее как ООО», — сказал Райт. Короче говоря, LLC сочетают сквозное налогообложение партнерства, но из-за его структуры участники не могут нести личную ответственность по его долгам или обязательствам.

«LLC, как правило, создаются очень ранними инвесторами», — отметил Данбар во время своей презентации.«Другими словами, ангелы, а не венчурные капиталисты, которые предпочитают становиться C-corp. Если вы являетесь ангелом в моем начинающем ООО, оно распределяет свои убытки на вас, и вы можете списать их на счет прибылей от инвестиций ».

Но налоговые последствия ООО, которые делают их столь привлекательными для предпринимателей и инвесторов, требуют дополнительной осторожности и знаний со стороны университетов. «Некоторые могут не осознавать, что LLC — это , а не как отдельная налогооблагаемая организация», — отметил Рейтер.«Все доходы и убытки передаются членам, в том числе освобожденному члену, например университету. Проблема заключается в том, что это не отдельный налогоплательщик, каждый участник рассматривается как участвующий в той деятельности, которую ведет LLC. Это требует совершенно иного надзора. Парни из IP должны понимать, что если вы собираетесь вступить в LLC, вы должны привлечь своих финансовых и налоговых специалистов и выяснить, что они думают о получении налогооблагаемого дохода, который может быть или не быть хорошим доходом для освобожденной от налогообложения организации.”

Например, добавила она, в то время как согласно руководящим принципам Налога на несвязанный бизнес (UBIT) роялти и поступления от капитала, полученные университетом, являются «хорошей прибылью», распределение большей части операционной чистой прибыли LLC является «плохой прибылью», т. Е. классифицируется как несвязанный коммерческий доход.

Кроме того, она добавила: «Поскольку освобожденная организация рассматривается как делающая то же самое, что и LLC, для целей налогообложения, ей необходимо убедиться, что LLC не делает того, что не может сделать освобожденное лицо.Вы должны ограничить возможности LLC участвовать в лоббировании. Еще одна вещь, над которой вы должны иметь контроль, — это изменение цели организации. Если вы освобожденный участник, вы хотите убедиться, что у него очень узкая цель — и что у вас есть право одобрять любые изменения.

В свете этих конкретных проблем и МакГрат, и Данбар не только посвятили себя изучению ООО, но и добавили более сложные подходы по мере накопления опыта.

По словам МакГрата, Drexel начал свое сотрудничество с ООО в 2005 году, когда один из преподавателей решил, что он хочет создать компанию как ООО. К счастью, главный юрисконсульт университета имел некоторый опыт общения с ними. «У меня не было опыта, чтобы их оценивать, поэтому мы работали с внутренними и внешними юристами», — рассказывает он TTT. «Я видел это слово, но на самом деле не знал, что такое ООО. Затем мы спросили: «Чем отличаются ООО от того, что мы обычно делаем?» »

Среди того, что он узнал, было то, что, хотя вы все еще заключаете лицензионное соглашение с LLC, и вы по-прежнему обсуждаете условия капитала в отдельном соглашении, все LLC разные, и «такие вещи, как права инвесторов, управление, распределение доходов и т. Д.- все они созданы по законам штата, которые регулируют деятельность ООО », — пояснил он.

«Как только мы это поняли, мы получили несколько советов как от внутренних, так и от внешних по поводу рисков для университета (контролер, старшие вице-президенты, вице-президент по финансам, руководитель налоговой службы и т. Д.) — налоги, обязательства, все ,» он добавляет.

С годами МакГрат продолжал такие консультации и при необходимости менял тактику. Например, в переговорах другая сторона может предложить использовать законы Нью-Джерси или Пенсильвании, в то время как Дрексел использовал Делавэр.«Когда кто-то предлагает Пенсильванию, мы пытаемся сказать« Давай займемся Делавэром », потому что нам будет легче, если мы будем знать, что делать», — говорит МакГрат. «Сложность добавляет время и деньги, поэтому мы стараемся этого избегать».

МакГрат и его команда активно боролись за контроль над расходами — и у них были веские причины. В то время как средний C-корп. переговоры могут стоить 2500–3000 долларов, «сложные LLC с тяжелыми условиями переговоров могут стоить до 20 000 долларов», — сказал он участникам AUTM.

Соответственно, была поставлена ​​цель оптимизировать процесс.МакГрат представил следующую схему, которая также может применяться к сделкам, не связанным с ООО:

• Обсудите ключевые финансовые условия сделки (включая капитал) в списке условий. Включите возмещение университетских затрат на согласование соглашений в листе условий и окончательном соглашении.
• Подпишите условия!
• Сборка по предварительному соглашению
• Перенести эти ключевые условия в лицензионные и операционные соглашения
• Придерживайтесь списка условий.

МакГрат утверждал, что такой подход снижает затраты до 10 000 долларов или меньше. Затем он рекомендовал TTO и его советникам разработать шаблонное операционное соглашение LLC для университета. (Образец соглашения Drexel можно найти на веб-сайте его TTO http://www.drexel.edu/commercialization/. Просто введите «Операционное соглашение LLC» в поле поиска.)

«Большинство корпоративных юристов, выполняющих такую ​​работу, имеют стандартное рабочее соглашение, применимое к выбранному штату, и мы выбрали Делавэр», — объясняет МакГрат.Чтобы заключить стандартное соглашение для школы, юристы Дрекселя «посмотрели, что нужно изменить, чтобы отразить наш некоммерческий статус».

Хотя Данбар впервые стал сотрудничать с LLC в 2002 году — даже раньше, чем МакГрат, — в конечном итоге он воспользовался юридической консультацией Райта, а также советником МакГрата, чтобы преодолеть трудности, с которыми он столкнулся. «Мы действительно увидели эту зарождающуюся тенденцию, согласно которой предпочтение отдается созданию стартапов в виде LLC», — вспоминает он.Но после его первых усилий, по его словам, его главный юрисконсульт чрезвычайно обеспокоился и сказал, что «подвергает всех нас опасности».

Адвокат, как отмечает Данбар, был обеспокоен UBIT. «SUNY — государственный университет, но еще в 70-х годах Research Council Foundation был создан как некоммерческая организация 501c3 для управления спонсируемыми программами в области интеллектуальной собственности. Затем у них возникают проблемы с UBIT. На тех ранних стадиях это был просто красный флаг, которого он хотел полностью избежать ».

Именно тогда Данбар начал «получать больше образования», и, в конце концов, в 2014 году «мы получили первое членство.Однако был период «сравнительного анализа и обучения» — и прогресса — между 2004 годом, когда был разработан первый университетский сертификат LLC Unit Warrant Certificate, и 2013 годом. Сертификат Unit Warrant Certificate был принят для решения проблем, связанных с членством в LLC, которое могло бы пройти через UBIT.

«Крис (Райт) сказал мне, что некоторые университеты приняли метод ордера», — вспоминает он. «Мы попросили его сделать это, он помог нам разработать гарантийный сертификат устройства, и мы провели переговоры с главным юрисконсультом, когда исследовательский фонд был достаточно доволен этим.”

Именно здесь на сцену вышел МакГрат. Райт представил его Данбару, который был очень впечатлен. «Я запланировал телефонную конференцию с Бобом и Фондом исследовательского совета, чтобы они могли учиться и чувствовать себя комфортно», — вспоминает он.

Когда используется сертификат LLC Unit Warrant Certificate, университет не владеет акциями компании. Напротив, он оставляет за собой право покупать паи (ценные бумаги) в будущем по фиксированной цене исполнения. Это также включает право обратной покупки, которое необходимо для обеспечения возможности выхода.Триггеры включают прекращение действия лицензии фондом или отсутствие преобразования в C-corp. в течение фиксированного количества лет.

Еще одно преимущество этого подхода состоит в том, что он обеспечивает защиту от растворения. «Можно сказать, что у нас есть защита от разводнения, пока компания не привлечет свой первый миллион долларов финансирования», — объясняет Данбар. «Если они выпустят больше акций до этого, им придется предоставить нам больше акций, чтобы мы сохранили тот же процент владения». Он добавляет, что его университет обычно берет 5% капитала без разводнения до 1 миллиона долларов.

Данбар говорит, что его офис разработал подход с варрантом, «чтобы мы могли иметь право покупать акции ООО, когда исследовательскому фонду это казалось безопасным и управляемым». Однако, добавляет он, «они имеют определенный уровень сложности и проблемы с налогами для изобретателей. LLC предпочитают, чтобы мы входили в качестве участника, как и все остальные ». На данный момент, отмечает он, фонд уже освоился с фактическим принятием членства и возможностью управлять UBIT. «Риск большой выплаты очень низок; обычно это происходит в момент выхода, а не в виде раздачи денег участнику », — объясняет Данбар.

Другой причиной перехода на членство было то, что «произошли большие изменения в главном юрисконсульте», — добавляет он. «Они поняли миссию и лучше переносят риск. Они мне очень помогли ».

Хотя подход с ордером все еще находится в наборе инструментов SUNY, когда он необходим, «в последних нескольких [сделках] мы использовали процесс членства», — отмечает Данбар. «Переговоры по операционному соглашению становятся очень важными и вовлеченными».

Здесь он снова воспользовался опытом МакГрата.«Они вышли впереди всех, занимаясь вопросами членства», — утверждает он.

Если TTO еще не лицензировал LLC, как менеджеру следует изучить этот процесс? «Они могли бы сделать это с поверенным, но я также учел бы другие TTO, особенно в их штате», — советует МакГрат. «Если у меньшего университета, такого как Дрексель, поблизости есть более крупный, такой как Питт, и они так или иначе работали с LLC, которые выглядят так, как вы хотите, тогда я бы начал с этого.Если вы серьезно, вам нужны как внутренние, так и внешние советы, но у большинства университетов нет опыта ».

Кроме того, по его словам, вы должны идти в ногу с изобретателями из вашего факультета, потому что им нужны правильные люди, которые помогут им интерпретировать риски. «Когда вы создаете LLC с преподавателем-изобретателем, если им разрешено получить личный капитал за пределами компании, они являются стороной этого операционного соглашения для LLC», — объясняет МакГрат. «Университет не может их проконсультировать, поэтому им нужен собственный советник, который укажет им, что им делать, когда они войдут в систему в качестве члена LLC.”

Как вы оцениваете свои усилия, начав работать с ООО? «Мы будем искать, решило ли оно проблемы, которые у нас были, когда мы не могли проявить интерес к членству, и если оно не создало новых», — говорит Данбар. «Например, сколько времени и затрат уходит на переговоры по операционному соглашению? Фонд привлек внешних консультантов, имевших большой опыт. Они сказали, что нам нужно промежуточное стандартное рабочее соглашение, в котором балансируются основатель, исследовательский фонд и последующие интересы.Они сделали это, и мы сказали стартапам, что должны заключить операционное соглашение, чтобы минимизировать время, чтобы мы могли начать с согласованного шаблона ».

Данбар говорит, что ему нравится передавать шаблон юристам в университетском городке, которые часто представляют стартапы, и просматривать его вместе с ними, по сути, получая их одобрение. «Это хорошая отправная точка», — утверждает он. «Мы сможем снизить затраты на создание компании, если все согласятся и мы будем вести переговоры о лицензии. Если это будет сделано быстро и с минимальными затратами, все деньги, которые есть у компании, будут использоваться для развития технологий и улучшения здоровья и благополучия населения.”

Свяжитесь с Данбаром по телефону 716-645-8134 или [email protected]; МакГрат по телефону 215-895-0303 или [email protected]; Рейтер по телефону 610-341-1071 или [email protected]; и Райт — 610-341-1026 или [email protected]

О

Найдите больше подобных статей, если подпишетесь на Technology Ежемесячный информационный бюллетень Transfer Tactics . Зарегистрируйтесь сегодня и получите сразу доступ к нашему Интернет-центру ресурсов только для подписчиков , который включает весь архив TTT прошлых выпусков (т.к. 2007) , а также наш фонд отраслевых исследовательских отчетов, юридических заключений, образцы бланков и договоров, государственные документы и др.

Важность оценки и защиты интеллектуальной собственности

Недавняя волна первичных публичных размещений акций, громких слияний и поглощений и судебных разбирательств подтолкнула интеллектуальную собственность (ИС) к все более критической позиции в мировой экономике. Однако многие организации часто не осознают ценность своей интеллектуальной собственности и риски для нее, даже если на эту интеллектуальную собственность приходится значительная часть стоимости компании.

При ограниченных ресурсах и низком давлении со стороны заинтересованных сторон компаниям требуется высокая норма прибыли на свои инвестиции в интеллектуальную собственность (ИС) и соответствующую защиту. Непринятие мер может создать серьезную угрозу для успеха организации.

Что такое интеллектуальная собственность?

Интеллектуальная собственность — это общий термин для обозначения совокупности нематериальных активов, принадлежащих компании и находящихся под ее правовой защитой от внешнего использования или реализации без согласия.Исходя из ее способности предоставлять фирме конкурентные преимущества, определение ИС как актива направлено на предоставление ей тех же защитных прав, что и физическая собственность. Получение таких защитных прав имеет решающее значение, поскольку оно предотвращает копирование со стороны потенциальных конкурентов — серьезную угрозу, например, в сетевой среде или в секторе мобильных технологий.

Организация, владеющая интеллектуальной собственностью, может извлекать из нее пользу несколькими способами, а именно, используя ее внутри компании — для своих собственных процессов или предоставления товаров и услуг клиентам — или путем совместного использования ее извне.Последнее может быть достигнуто с помощью юридических механизмов, таких как права роялти.

Существует обширная международная система определения, защиты и обеспечения соблюдения прав интеллектуальной собственности, включающая как схемы многосторонних договоров, так и международные организации. Примеры таких договоров и органов включают Торговые аспекты прав интеллектуальной собственности (ТАПИС), Всемирную организацию интеллектуальной собственности (ВОИС), Всемирную таможенную организацию (ВТО), Комиссию Организации Объединенных Наций по праву международной торговли (ЮНСИТРАЛ), Всемирную торговую организацию ( ВТО) и Европейский союз (ЕС).Тем не менее, существуют различия в соблюдении и обеспечении соблюдения прав на местном уровне.

Виды интеллектуальной собственности

IP как категорию активов можно разделить на четыре различных типа — авторские права, товарные знаки, патенты и коммерческие секреты.

Авторские права

Авторские права, одни из наиболее широко используемых типов ИС, представляют собой форму защиты, предоставляемой авторам оригинальных авторских работ, как опубликованных, так и неопубликованных. Авторское право защищает материальную форму выражения (т.е. книгу, произведение искусства или музыку), а не саму идею или предмет. В Соединенных Штатах, согласно первоначальному Закону об авторском праве 1909 года, публикация обычно была ключом к получению федерального авторского права. Однако Закон об авторском праве 1976 г. изменил это требование, и теперь защита авторских прав применяется к любому оригинальному авторскому произведению сразу же с момента его создания в материальной форме.

Товарные знаки

Товарные знаки — еще один распространенный тип IP. Торговая марка, согласно определению U.S. Ведомство по патентам и товарным знакам (PTO) — это «любое слово, имя, символ или устройство, или любое их сочетание, используемое или предназначенное для использования в торговле для идентификации и отличия товаров одного производителя или продавца от произведенных товаров. или проданы другими ». Хотя он не так надежен, как международный режим защиты авторских прав, Закон о реализации Договора о законах о товарных знаках обеспечивает некоторую международную защиту товарных знаков, зарегистрированных в США.

Патенты

По сравнению с другими видами интеллектуальной собственности, патенты являются одними из самых ценных, дорогостоящих и труднодоступных.Патент определяется PTO как «предоставление права собственности изобретателю», предоставляя владельцу «право лишать других права создавать, использовать, предлагать для продажи, продавать или импортировать изобретение».

Патентоспособные элементы могут включать объекты или процессы, такие как новые технологии или бизнес-методы, но не включают более абстрактные элементы, такие как веб-сайты или идеи. Перед выдачей разрешения требуется достаточная документация от заявителя в сочетании с проверкой подлинности со стороны PTO, которая обычно действительна в течение 20 лет с даты подачи заявки.

После получения патентообладатель может предоставлять другим лицам лицензии на использование изобретения или его дизайна и может взимать плату за такое использование. Патенты действительны только в Соединенных Штатах, включая территории и владения; однако 130 стран согласились соблюдать международные патенты с помощью таких инструментов, как Договор о патентной кооперации (PCT).

Торговые секреты

Любая идея или факт, не разглашаемые бизнесом, составляют четвертый тип интеллектуальной собственности: коммерческую тайну.Коммерческая тайна — это уникальная форма ИС, поскольку у нее нет определенного временного горизонта — проблема может оставаться секретной просто при подаче заявки на патент, или она может оставаться под строгим контролем в течение всего срока существования фирмы (например, рецепт Coca-Cola ).

Коммерческая тайна, по определению, — это служебная или имеющая отношение к бизнесу информация, которую использует компания или частное лицо или на которую они обладают исключительными правами. Чтобы считаться коммерческой тайной, информация должна соответствовать нескольким требованиям: чтобы она была подлинной и неочевидной, предоставляла владельцу конкурентное или экономическое преимущество и, следовательно, имела ценность и была разумно защищена от разглашения.Примеры коммерческой тайны включают вышеупомянутые рецепты, бизнес-методы, стратегии, тактики или любую другую информацию, которая дает бизнесу конкурентное преимущество.

Почему стоит ценить интеллектуальную собственность?

Изменения в глобальной экономической среде повлияли на развитие бизнес-моделей, в которых ИС является центральным элементом, определяющим стоимость и потенциальный рост. Помимо этих системных изменений, американская и международная практика бухгалтерского учета вынуждает фирмы признавать и оценивать все идентифицируемые нематериальные активы фирмы в рамках сделки (например, при слиянии или приобретении).

В результате этих тенденций надлежащая оценка ИС с последующими мерами по защите этой ценности стали ключевым элементом успеха и жизнеспособности современной фирмы. Председатель Федеральной резервной системы Бен Бернанке недавно подтвердил это понятие на конференции «Новые строительные блоки для рабочих мест и экономического роста», на которой он обсудил важность нематериального капитала и то, что на его накопление приходится более половины прироста производства в США на душу населения. час за последние несколько десятилетий.

Оценка интеллектуальной собственности — Методология

Существует три метода оценки интеллектуальной собственности: стоимостная, рыночная и доходная.

• Оценка на основе затрат учитывает как стоимость создания актива в прошлом, так и стоимость его воссоздания при текущих ставках.
• Рыночная оценка рассматривает сопоставимые рыночные операции, будь то продажа или покупка, аналогичных активов, чтобы сделать выводы о стоимости.
• Оценка на основе дохода рассматривает поток доходов, относимых к интеллектуальной собственности, на основе прошлых доходов и ожидаемых будущих доходов.

Эти методы могут применяться одновременно в комбинированном подходе для получения окончательной оценки.

Есть несколько важных факторов, которые необходимо установить и принять во внимание при проведении оценки интеллектуальной собственности. К ним относятся:

• Четкое определение IP.
• Однозначное право собственности на актив.
• Качественная и количественная характеристика ИП.
• Доходность и рентабельность в отношении IP.
• Доля рынка, поддерживаемая или в результате IP.
• Юридические права и ограничения, конкуренция, входные барьеры и риски, связанные с интеллектуальной собственностью.
• Жизненные циклы продукта и позиционирование.
• Исторический рост и перспективы на будущее.

Что и когда следует ценить

Различные типы активов ИС рассматриваются по-разному, когда дело доходит до частоты, направленности и организационного уровня, на котором будет проводиться оценка.В таблице ниже указано, когда именно следует оценивать IP.

Торговая сделка между США и Китаем по защите прав интеллектуальной собственности и принудительной передаче технологий

Президент Дональд Трамп встретился с президентом Китая Си Цзиньпином в начале их двусторонней встречи на саммите лидеров G20 в Осаке, Япония, 29 июня 2019 года.

Кевин Лемарк | Reuters

Торговое соглашение, подписанное президентом Дональдом Трампом с Китаем в среду, включает положения о защите интеллектуальной собственности и защите от принудительной передачи технологий.

Эти две проблемы могут иметь важные последствия для технологической отрасли, которая сама по себе имеет слабые отношения с Китаем из-за подозрений относительно того, как официальные лица могут получить доступ к хранящимся там данным.

США и Китай договорились, что люди из каждой страны «смогут действовать открыто и свободно в юрисдикции другой Стороны без какой-либо силы или давления со стороны другой Стороны для передачи их технологии лицам другой Стороны». Согласно соглашению, любая передача технологий или лицензий между жителями каждой страны должна быть добровольной.

Страны также согласились с положением, запрещающим государству направлять или поддерживать отечественные компании в приобретении иностранных технологий в секторах и отраслях, «которые создают искажения». Это положение лежит в основе новых правил, обнародованных Министерством финансов в понедельник, которые пытаются обеспечить более тщательный контроль иностранных инвестиций в компании США по соображениям национальной безопасности. Правила потребуют увеличения количества транзакций между иностранными инвесторами и фирмами США для получения разрешения от Комитета по иностранным инвестициям в Соединенных Штатах.

CFIUS уже пресекло подобные китайские инвестиции. В апреле CNBC сообщил, что в прошлом году стартап в области медицинских технологий PatientsLikeMe был вынужден найти покупателя после того, как CFIUS заставил своего китайского мажоритарного владельца продать свою долю.

Вот что говорится в торговом соглашении о принудительной передаче технологий:

Физические или юридические лица («лица») Стороны должны иметь эффективный доступ и иметь возможность действовать открыто и свободно в юрисдикции другой Стороны без какой-либо силы. или давление со стороны другой Стороны с целью передачи их технологии лицам другой Стороны.

2. Любая передача или лицензирование технологии между лицами одной Стороны и лицами другой Стороны должны основываться на рыночных условиях, которые являются добровольными и отражают взаимное согласие.

3. Сторона не поддерживает или не направляет деятельность своих лиц по прямым иностранным инвестициям, направленную на приобретение иностранных технологий, в секторах и отраслях, на которые нацелены ее промышленные планы, которые создают искажения.

Ни одна из Сторон не будет требовать или оказывать давление на лиц другой Стороны с целью передачи технологии ее лицам в связи с приобретениями, совместными предприятиями или другими инвестиционными сделками

Китай также согласился разработать план действий по «усилению защиты интеллектуальной собственности, направленной на продвижение его качественный рост »в течение 30 рабочих дней после вступления сделки в силу.Обе страны согласились «определить соответствующий метод реализации положений настоящего Соглашения в рамках своей собственной системы и практики».

Вот что говорится в соглашении о защите прав интеллектуальной собственности:

Каждая Сторона должна определить соответствующий метод реализации положений настоящего Соглашения в рамках своей собственной системы и практики. При необходимости каждая Сторона представляет предложения по внесению поправок в законы своему законодательному органу в соответствии с процедурой своего внутреннего законодательства.В соответствии с главой «Двусторонняя оценка и разрешение споров» каждая Сторона обеспечивает полное выполнение своих обязательств по настоящему Соглашению.

В течение 30 рабочих дней после даты вступления в силу настоящего Соглашения Китай обнародует План действий по усилению защиты интеллектуальной собственности, направленный на содействие его качественному росту. Этот План действий должен включать, но не ограничиваться, меры, которые Китай примет для выполнения своих обязательств в соответствии с настоящей Главой, и дату, к которой каждая мера вступит в силу.

WATCH: Почему США считают, что компания Huawei уже много лет представляет серьезную угрозу национальной безопасности

Управление рисками | Океан Томо

Идентификация и количественная оценка

На первом этапе Программы компания или другое юридическое лицо («Клиент») с продуктом или услугой («Продукт») привлекает Ocean Tomo для предоставления «Мнения о справедливости». Заключение о справедливости разработано, чтобы ответить на один вопрос: каков размер справедливого гонорара, который Клиент должен выделить для выплаты всем владельцам нелицензионных патентов, чьи претензии относятся к Продукту?

Ocean Tomo отвечает на этот вопрос с помощью патентного поверенного, руководствуясь хорошо зарекомендовавшими себя методологиями и объективным вкладом своих патентованных инструментов патентной аналитики.Другими словами, Ocean Tomo рассчитывает кумулятивную справедливую максимальную потенциальную ответственность («FMPL») на основе надежной аналитической основы, обычно используемой для установления убытков в результате нарушения патентных прав при потере разумной теории ущерба от роялти. Этот FMPL может быть причитается третьим сторонам в качестве компенсации за использование Клиентом их запатентованных технологий из Продукта. Клиент предоставляет Ocean Tomo ограниченный набор четко определенной информации о продукте, относящейся к технологии, рынку и финансовым прогнозам, и выполняется анализ для оценки справедливой и разумной ставки роялти для одной гипотетической лицензии, которая предоставит права на все технологии. воплощены в Продукте.Соответствующая часть этой ставки затем распределяется на внутреннюю разработку, поставку или лицензию Страхователя. Оставшийся роялти — это FMPL, который может быть выражен номинально, исходя из ожидаемых характеристик Продукта, в виде процента от выручки от Продукта или в виде номинальной суммы на проданные единицы Продукта.

FMPL представлен в заключении о справедливости вместе с подробным описанием методологии и основных допущений. Также может быть предоставлено общее указание количества сторонних нелицензионных патентов, которые могут применяться к продукту.Конкретные патенты и владельцы патентов не будут раскрыты, хотя эта информация, а также часть FMPL, относящаяся к таким патентам, известна и задокументирована Ocean Tomo.

Смягчение

Заключение о справедливости идентифицирует и количественно оценивает риск нарушения патентных прав, связанный с Продуктом. Основываясь на этой информации, Клиент под руководством и при содействии Ocean Tomo разрабатывает и реализует стратегию снижения рисков, связанную с приобретением потенциально значимых патентных прав посредством лицензирования или приобретения.Эта стратегия может также включать публичное уведомление о желании Клиента получить такие права и его готовность оценить разумные предложения по лицензиям. Тогда успешное приобретение дополнительных прав уменьшит FMPL.

Передача

Страховой полис предоставляется на основании FMPL, описанного в Заключении о справедливости. Эта политика позволяет Клиенту передать риск будущих обязательств по нарушению патентных прав сверх FMPL. Любая компенсация патентных прав, выплаченная Клиентом в течение срока действия полиса (лицензионные и расчетные сборы, а также возмещение ущерба), может быть истребована против полиса.Страхование полиса часто кратно FMPL. Таким образом, в случае, если совокупные претензии превышают FMPL, убытки несет поставщик страховых услуг, а не Клиент. После прекращения действия полиса все невыплаченные средства за вычетом комиссионных возвращаются Клиенту. Действие политики автоматически прекращается по окончании периода действия ответственности Продукта. Политика также может быть прекращена в любое время Клиентом. Размер комиссионных зависит от суммы покрытия, которое хочет получить Клиент.

Вероятно, что определенный риск нарушения патента на Продукт все еще сохранится после таких упреждающих действий по снижению риска. В случае, если сторонние патентообладатели инициируют иск о нарушении патентных прав против Клиента, судебный процесс будет рассматриваться в соответствии с решением Клиента. Программа патентных рисков будет иметь отношение к судебному разбирательству только в том случае, если заявленные патенты будут признаны недействительными и нарушенными. Документация, связанная с патентными рисками, включая Заключение о справедливости, вероятно, будет частью протокола дела и может быть представлена ​​экспертами Ocean Tomo во время судебного разбирательства по делу о возмещении ущерба.Свидетельские показания должны включать подробное описание работы, которая, вероятно, была подготовлена ​​непосредственно перед первым нарушением (т.е. реальный период «гипотетических переговоров») с использованием тех же методов, которые часто признаются судами и выполняются нейтральным или, возможно, неблагоприятным , третья сторона. Такое свидетельство может быть убедительным доказательством того, что патентообладатель должен получить сумму возмещения ущерба, равную его заранее определенной части FMPL. В случае, если суд присудит чрезмерную сумму, она будет покрываться страховым полисом, как описано выше.

Устранение страхового пробела — Страхование ответственности за интеллектуальную собственность | Ambridge Partners

Автор:
Нэнси Адамс, член, Минц Левин
Дэн А. Бейли, член, Бейли Кавальери
Анкит Патель, советник по андеррайтингу интеллектуальной собственности, Ambridge Partners LLC

Страховое покрытие претензий по интеллектуальной собственности («ИС») долгое время было источником интереса, споров и замешательства среди компаний, страховых консультантов и андеррайтеров.Потенциальная ответственность и финансовые риски, связанные с этими претензиями, могут быть огромными и могут поставить под угрозу само существование некоторых компаний. Однако исторически сложилось так, что страховщики часто неохотно предлагали коммерчески жизнеспособную страховую защиту для этого риска, как из-за изменчивого характера риска, так и из-за того, что компании часто предпочитают использовать, если не увеличивать, свои риски ИС в рамках своего стратегического плана или операционной модели. . Кроме того, многие компании ошибочно полагают, что у них есть покрытие этих требований в рамках их стандартной программы страхования.

Для многих компаний самым большим и, следовательно, наиболее важным активом в балансе являются их нематериальные активы, включая их интеллектуальную собственность. Инновации и НИОКР долгое время были ключом к успеху компаний в большинстве отраслей. По мере того как экономика становится все более глобальной, компании уделяют еще больше внимания защите своей интеллектуальной собственности (патентов, товарных знаков, авторских прав и коммерческих секретов). В то же время значительно выросло количество судебных исков, связанных с интеллектуальной собственностью, компаниями, ведущими свою деятельность в США и за рубежом.

Рассмотрим следующие

• Годовое исследование рыночной стоимости нематериальных активов, проведенное Ocean Tomo за 2015 год, ¹ показало, что стоимость нематериальных активов S&P 500 выросла до 87% от общей стоимости активов, что составляет 19 триллионов долларов (в основном это активы интеллектуальной собственности).
• В годовом отчете ВОИС за 2017 год отмечается, что в 2016 г. «количество мировых патентных заявок выросло на 8,3%, а количество заявок на регистрацию товарных знаков — на 13,5%, то есть за семь лет непрерывного роста».
• В отчете также отмечается, что количество заявок на патенты и товарные знаки в США увеличилось на 2.7% и 5,5% соответственно. ²
• В отчете о результатах деятельности и подотчетности USPTO за 2017 финансовый год указано, что с 2000 года количество заявок на полезные патенты увеличилось более чем вдвое с 2 до 602354 в 2017 году. Это также привело к резкому увеличению количества выданных патентов на коммунальные услуги с 164 486 до 315367 .
• В июне 2018 года ВПТЗ США выдало 10-миллионный патент США.

Признавая важность ценности своей ИС для своей основной деятельности, многие владельцы ИС, будь то операционные компании или непрактикующие организации (иногда называемые «патентными троллями»), используют тактику лицензирования и правоприменения для монетизации своих Активы ИС.Соответственно, компании все чаще сталкиваются с судебными тяжбами в сфере интеллектуальной собственности. Эта уязвимость еще больше усиливается, когда споры в области интеллектуальной собственности рассматриваются в разных юрисдикциях, а стороны в судебном процессе сталкиваются с проблемами и неопределенностью, вызванными различным применением и толкованием законов об интеллектуальной собственности в судах разных стран. ³

Страховые полисы, потенциально обеспечивающие IP-защиту

Похоже, что между управлением компанией своими рисками интеллектуальной собственности и другими рисками часто существует разрыв.Риск-менеджеры редко участвуют в оценке и управлении рисками, связанными с портфелем интеллектуальной собственности компании, поэтому вопросы о том, следует ли сохранить, передать или застраховать эти риски (полностью или частично), редко рассматриваются.

Стандартные возможности управления рисками интеллектуальной собственности ограничены, но доступны. С практической точки зрения трудно, а то и невозможно передать риски, связанные с владением компанией и использованием интеллектуальной собственности, третьей стороне, кроме как через договор страхования.Однако до недавнего времени страхование интеллектуальной собственности редко рассматривалось как жизнеспособный вариант, потому что страховые взносы были слишком дорогими, процесс андеррайтинга отнимал слишком много времени или объем страхового покрытия был недостаточным.

Еще одна причина того, что компании не приобрели страхование интеллектуальной собственности, — это ошибочное мнение, что страхование общей ответственности обеспечивает покрытие рисков и рисков, связанных с интеллектуальной собственностью компании. Эта путаница, по-видимому, возникает из-за того факта, что, помимо защиты от телесных повреждений и имущественного ущерба, политика общей ответственности предусматривает покрытие «телесных повреждений и телесных повреждений», которые могут прямо включать нарушение авторских прав, фирменного стиля или слогана.Однако для того, чтобы было обеспечено освещение, нарушение должно быть указано в рекламе компании. Более того, суды неоднократно заявляли, что телесные повреждения и телесные повреждения не включают прямое или вызванное нарушение патентных прав. См. Heritage Mut. Ins. Co. против Advanced Polymer Tech., Inc., 97 F. Supp. 2d 913, 924 (S.D. Ind. 2000). Как признал один суд, «абсурдно предполагать», что политика общей ответственности «включает нарушение патентных прав или побуждение к нарушению» даже в том случае, если политика распространяется на личный ущерб и ущерб, нанесенный рекламой.См. Gencor Indus. v. Wausau Underwriters Ins. Co., 857 F. Supp. 1560, 1564 (доктор медицины, Флорида, 1994). Ведь

«[S] поскольку основанием для нарушения патентных прав является несанкционированное производство, использование или продажа запатентованного продукта, а не его реклама, оно не могло возникнуть в результате или возникло в ходе рекламной деятельности». Atlantic Mut. Ins. Co. против Brotech Corp., 857 F. Supp. 423, 429 (E.D. Pa, 1994).

В результате компании, которые полагаются на свою политику общей ответственности или другие стандартные страховые полисы для управления своими рисками интеллектуальной собственности, потенциально имеют значительный «пробел» в покрытии.Ниже кратко излагаются основные типы страховых полисов, не связанных с интеллектуальной собственностью, которые могут обеспечить ограниченное покрытие рисков, связанных с интеллектуальной собственностью, и «пробелы» в покрытии рисков, связанных с интеллектуальной собственностью, в рамках этих полисов.

A. Страхование коммерческой ответственности

Как отмечалось выше, обычно полисы страхования коммерческой общей ответственности («CGL») включают страхование «личных и рекламных травм», которое включает: (i) «[или] письменную публикацию любым способом материалов, содержащих клевету или клевещет на человека или организацию или унижает товары, продукцию или услуги человека или организации »; (ii) «[t] он использует чужую рекламную идею в вашей« рекламе »»; и (iii) «[i] нарушение авторских прав, фирменного стиля или слогана в вашей« рекламе »». ⁴ Однако, в соответствии с положениями о страховании в полисах CGL, предполагаемое нарушение прав должно быть результатом самой фактической рекламы. Кроме того, учитывая, что большинство заявлений о нарушении патентных прав связано с несанкционированным использованием или продажей застрахованным лицом запатентованного продукта (и его рекламы), маловероятно, что такие претензии когда-либо возникнут из рекламы застрахованного. Соответственно, покрытие нарушения патентных прав ограничено, если оно вообще предоставляется.
Еще один потенциальный пробел в покрытии касается объема покрываемых «убытков» по ​​полисам CGL.В типичном договоре страхования страховщик соглашается выплатить те суммы, которые застрахованный становится юридически обязан выплатить в качестве возмещения убытков из-за «телесных повреждений и травм из-за рекламы». Хотя термин «убытки» не определен, в некоторых юрисдикциях гонорары адвокатам, штрафные убытки и изъятие не могут считаться убытками. Более того, очень маловероятно, что суммы, которые компания несет в качестве «затрат на временное решение», например, будут считаться «убытками» в соответствии с политикой CGL. И все же третий потенциальный пробел связан со стратегическим решением страхователя; например, чтобы убедительно защитить свое право на интеллектуальную собственность.Большинство полисов общей ответственности не покрывают страхователя встречных требований или положительного судебного преследования страхователем претензий к третьей стороне.

B. Страхование ответственности СМИ

Страхование ответственности СМИ — это особый вид покрытия ответственности за ошибки и упущения, которое обычно приобретается компаниями, занимающимися медиа и развлекательной деятельностью, такими как издатели, вещательные компании и компании, ведущие значительную маркетинговую деятельность. Эти политики обычно покрывают ответственность за предполагаемую клевету, оскорбление, нарушение авторских прав, плагиат и другое несанкционированное использование материалов, названий или торговых марок.
В большинстве этих полисов используются рукописные полисы, и поэтому покрытие может быть в некоторой степени адаптировано к потребностям конкретного Застрахованного. Но, как и полисы CGL, полис ответственности СМИ будет охватывать только определенные виды претензий в отношении интеллектуальной собственности, возникающих в связи с «бизнесом» Застрахованного, который определен в полисе.

C. Политика ответственности директоров и должностных лиц

«Большинство директоров и должностных лиц» («D&O») покрывают не только претензии к директорам и должностным лицам, но и определенные претензии к компании.Полисы D&O, выдаваемые публичным компаниям, обычно охватывают Иски по ценным бумагам против компании, но не охватывают какие-либо другие иски против компании. Напротив, полисы D&O, выдаваемые частным компаниям, обычно обеспечивают покрытие любого типа претензий к компании, если специально не исключено. Но эти политики обычно включают широкое исключение для любого типа претензий в отношении интеллектуальной собственности к компании, включая претензии, связанные с предполагаемым нарушением авторских прав, патента, товарного знака, фирменного наименования, фирменного стиля или знака обслуживания или предполагаемого незаконного присвоения идей или коммерческих секретов. .

D. Страхование заверений и гарантий

Страховые полисы с заявлениями и гарантиями («R&W») часто включают покрытие нарушений заявлений в соглашениях о сделках, касающихся вопросов интеллектуальной собственности. Однако это покрытие имеет ретроспективный (а не перспективный) вид и также ограничивается объемом представительства продавца в соглашении о сделке и сроком действия этого представительства. Более того, страхование R&W применимо только в контексте сделок M&A и, следовательно, имеет узкую область применения.Другими словами, страхование R&W не будет доступно компании, если, как минимум, оно не связано с нарушением представительства продавца в сделке M&A. Даже в этом случае пределы ответственности применяются ко всем нарушениям заявлений, и, таким образом, политика R&W не предусматривает отдельных ограничений, которые были бы применимы только к нарушениям заявлений ИС.

E. Cyber ​​Insurance

В целом, киберстрахование обеспечивает покрытие рисков, связанных с хранением компанией данных или информации или ведением бизнеса через Интернет.Полисы киберстрахования могут позволить ограниченное покрытие определенных типов требований, связанных с интеллектуальной собственностью, если предполагаемое правонарушение возникло в результате инцидентов, связанных с киберпространством. Например, полис киберстрахования может обеспечивать покрытие претензий по поводу того, что страхователь не смог должным образом защитить интеллектуальную собственность третьей стороны, которой он владел. Таким образом, потенциально могут быть покрыты расходы или расходы, понесенные держателем полиса для определения источника или степени кражи интеллектуальной собственности третьей стороны, а также любые убытки, возникшие в результате кражи интеллектуальной собственности третьей стороны.Однако полисы киберстрахования не будут покрывать обвинения в том, что патенты страхователя нарушают патенты третьей стороны. Более того, это освещение чаще всего применяется в контексте мультимедиа и по своему охвату аналогично некоторому освещению, предусмотренному политикой ответственности СМИ.
Страхование ответственности за интеллектуальную собственность

Страховой рынок в настоящее время реагирует на эти типичные «пробелы» в покрытии для рисков ИС — как и на пробелы в страховом покрытии для других уникальных рисков, таких как экологическое и киберстрахование — предлагая коммерчески жизнеспособные полисы ИС, адаптированные к уникальным аспектам риски интеллектуальной собственности застрахованного.Неудивительно, что существует множество типов IP-политик с большим разнообразием условий покрытия.

Эти политики в области интеллектуальной собственности адаптированы для обеспечения всемирной защиты уникальных продуктов и услуг компании, а также ее ценных портфелей интеллектуальной собственности. Признавая требования и опасения каждого потенциального застрахованного, опытные страховщики могут составлять рукописи полисов для реагирования на судебные иски и судебные разбирательства третьих лиц о нарушении прав интеллектуальной собственности, претензии третьих лиц о возмещении убытков по лицензиям или другим соглашениям, касающимся интеллектуальной собственности, а также процедуры признания недействительными, возбужденные в суде. или административное агентство.Кроме того, полисы IP Insurance предназначены для возмещения страхователю любых понесенных расходов на защиту, а также выплаты компенсации за ущерб или суммы урегулирования на основе «предъявленных требований». Покрытие продлевается ежегодно, что позволяет страхователю изменять покрытие для включения любых новых IP или продуктов или услуг, предлагаемых компанией.

Ниже приводится краткое описание некоторых различных типов политик интеллектуальной собственности, которые могут быть доступны на сегодняшнем рынке.

1. Политика защиты и возмещения убытков: Наиболее распространенный тип политики защиты прав интеллектуальной собственности покрывает расходы на защиту, урегулирования и судебные решения, понесенные Страхователем в связи с претензиями в отношении интеллектуальной собственности против Страхователя.Эти политики часто включают покрытие широкого спектра нарушений интеллектуальной собственности, хотя политики могут исключать нарушение патентных прав. Другие важные исключения относятся к преднамеренным нарушениям или потенциальным нарушениям, которых у Застрахованного лица были основания ожидать на момент вступления в силу полиса.

2. Политика нарушения патентных прав: Покрытие урегулирований и судебных решений по искам, касающимся нарушения патентных прав, предлагается лишь небольшой группой специализированных страховщиков с уникальным опытом в этой области.Процесс андеррайтинга такой политики занимает много времени и является дорогостоящим, и страховое покрытие часто применяется только в отношении определенных перечисленных патентов. Кроме того, политика может быть разработана таким образом, чтобы ограничить покрытие претензиями, предъявляемыми непрактикующими организациями.

3. Правоприменительная политика (также известная как «Уменьшение, наступление, преследование). Некоторые полисы в области интеллектуальной собственности включают покрытие расходов Застрахованного в качестве истца для защиты прав Застрахованной интеллектуальной собственности против предполагаемых нарушителей». Типы нарушений интеллектуальной собственности, охватываемые этим типом политики, могут быть относительно широкими, включая нарушение патентных прав.Однако, как и в случае с патентной политикой, процесс андеррайтинга обычно занимает много времени, и премия может быть относительно большой.

Заключение

С ростом глобальной защиты прав интеллектуальной собственности и связанных с этим затрат, спор об интеллектуальной собственности может ограничить или препятствовать росту компании или потребовать изменения дизайна ее продуктов. Это особенно актуально для технологических компаний, сталкивающихся с угрозами судебного разбирательства со стороны не практикующих организаций. Однако при правильном использовании IP-страхование может обеспечить страхователю простоту ума и явное преимущество в экономичном управлении рисками, связанными с непредвиденными угрозами и судебными исками третьих лиц.

При оценке и покупке полиса ИС очень важно, чтобы компания работала со знающим брокером, который знаком с продуктами страхования ИС на рынке. Также важно, чтобы риск-менеджеры сами понимали объем страховки, которую можно приобрести по полису страхования интеллектуальной собственности. В прошлые годы для полиса в области интеллектуальной собственности не было ничего необычного в том, что страховое покрытие предоставлялось только тогда, когда застрахованное лицо выигрывало судебный процесс в отношении интеллектуальной собственности. Сегодня, однако, существует множество покрытий, от защиты от уведомления о нарушении до положительного оспаривания заявки на интеллектуальную собственность или процесса регистрации третьей стороны.Таким образом, при рассмотрении предложений по страхованию интеллектуальной собственности жизненно важно, чтобы компания рассмотрела объем покрытия и, например, включает ли оно покрытие любых запросов от лицензиата о возмещении ущерба в связи с иском о нарушении прав. Поскольку страховщики приобрели опыт в этой области, они теперь имеют больше возможностей для своевременного предоставления определенного продукта, который отвечает потребностям компании в передаче рисков интеллектуальной собственности.

[1] Ежегодное исследование рыночной стоимости нематериальных активов Ocean Tomo, 2015 г.

[2] Показатели мировой интеллектуальной собственности, 2017 г., ВОИС (2017 г.), доступно по адресу: Annual Report http: // www.wipo.int/edocs/pubdocs/en/wipo_pub_941_2017.pdf.

[3] или, например, в Соединенных Штатах, стратегии судебного разбирательства могут различаться в зависимости от предшествующего ведения судьей дел, связанных с интеллектуальной собственностью, типичного времени до судебного разбирательства или юридических аргументов. В Соединенных Штатах клиенты могут также быть обеспокоены предполагаемыми угрозами необоснованных судебных исков, поданных непрактикующими организациями, и высокими судебными издержками. В таких юрисдикциях, как Германия и Южная Корея, клиентов может больше беспокоить раздвоенный характер разбирательства, который может затянуть спор и увеличить расходы.В такой юрисдикции, как Китай, где законы об интеллектуальной собственности пересматриваются, клиенты могут быть обеспокоены потенциальной неопределенностью в толковании закона об интеллектуальной собственности относительно непосвященными судами и судьями.

[4] Форма покрытия коммерческой общей ответственности, Insurance Services Office, Inc. (CG 00 01 04 13).

Сильно ускользающий злоумышленник использует цепочку поставок SolarWinds для компрометации Множественные глобальные жертвы с бэкдором SUNBURST

Краткое содержание

• Мы обнаружили глобальную кампанию вторжения.Мы отслеживаем участников этой кампании как UNC2452.
• FireEye обнаружила атаку цепочки поставок, использующую обновления бизнес-программного обеспечения SolarWinds Orion для распространения вредоносного ПО, которое мы называем SUNBURST.
• Действия злоумышленника после взлома используют несколько методов, чтобы избежать обнаружения и скрыть свою деятельность, но эти усилия также предлагают некоторые возможности для обнаружения.
• Кампания широко распространена, затрагивая государственные и частные организации по всему миру.
• FireEye выпускает сигнатуры для обнаружения этого злоумышленника и атаки цепочки поставок в дикой природе. Их можно найти на нашей общедоступной странице GitHub. Продукты и услуги FireEye могут помочь клиентам обнаружить и заблокировать эту атаку.

Резюме

FireEye обнаружил широко распространенную кампанию, которую мы отслеживаем как UNC2452. Актеры, стоящие за этой кампанией, получили доступ к многочисленным государственным и частным организациям по всему миру. Они получили доступ к жертвам через троянизированные обновления программного обеспечения для мониторинга и управления ИТ SolarWind Orion.Эта кампания могла начаться уже весной 2020 года и в настоящее время продолжается. Действия после компрометации после этой компрометации в цепочке поставок включали боковое перемещение и кражу данных. Кампания — это работа высококвалифицированного актера, и операция проводилась с высокой степенью оперативной безопасности.

SUNBURST Бэкдор

SolarWinds.Orion.Core.BusinessLayer.dll — это компонент программного обеспечения Orion с цифровой подписью SolarWinds, содержащий бэкдор, который обменивается данными через HTTP со сторонними серверами.Мы отслеживаем троянизированную версию этого подключаемого модуля SolarWinds Orion как SUNBURST.

После начального периода бездействия продолжительностью до двух недель он извлекает и выполняет команды, называемые «заданиями», которые включают в себя возможность передавать файлы, выполнять файлы, профилировать систему, перезагружать машину и отключать системные службы. Вредоносная программа маскирует свой сетевой трафик под протокол Orion Improvement Program (OIP) и сохраняет результаты разведки в легитимных файлах конфигурации плагинов, позволяя им смешиваться с законной деятельностью SolarWinds.Бэкдор использует несколько обфусцированных списков блокировки для идентификации криминалистических и антивирусных инструментов, работающих как процессы, службы и драйверы.

Рисунок 1. Цифровая подпись SolarWinds в программном обеспечении с бэкдором

Множественные троянские обновления были подписаны цифровой подписью с марта по май 2020 года и размещены на веб-сайте обновлений SolarWinds, в том числе:

• hxxps: //downloads.solarwinds [.] Com / solarwinds / CatalogResources / Core / 2019.4 / 2019.4.5220.20574 / SolarWinds-Core-v2019.4.5220-Hotfix5.msp

Троянский файл обновления — это стандартный файл исправления установщика Windows, который включает сжатые ресурсы, связанные с обновлением, в том числе троянский компонент SolarWinds.Orion.Core.BusinessLayer.dll. После установки обновления вредоносная DLL будет загружена законным SolarWinds.BusinessLayerHost.exe или SolarWinds.BusinessLayerHostx64.exe (в зависимости от конфигурации системы). После периода бездействия продолжительностью до двух недель вредоносная программа попытается разрешить субдомен avsvmcloud [.] ком. Ответ DNS вернет запись CNAME, которая указывает на домен управления и контроля (C2). Трафик C2 к вредоносным доменам предназначен для имитации нормальной связи API SolarWinds. Список известной вредоносной инфраструктуры доступен на странице FireEye GitHub.

Жертвы в разных странах мира

FireEye обнаружил эту активность в нескольких организациях по всему миру. Среди жертв были государственные, консалтинговые, технологические, телекоммуникационные и добывающие организации в Северной Америке, Европе, Азии и на Ближнем Востоке.Мы ожидаем дополнительных жертв в других странах и вертикалях. FireEye уведомила все известные нам организации.

Публикация сведений о взломе и возможности обнаружения

В настоящее время мы отслеживаем компрометацию цепочки поставок программного обеспечения и связанные с ней действия после вторжений как UNC2452. После получения начального доступа эта группа использует различные методы, чтобы замаскировать свои операции при боковом движении (рис. 2). Этот субъект предпочитает поддерживать легкий след вредоносного ПО, вместо этого предпочитая легитимные учетные данные и удаленный доступ для доступа в среду жертвы.

Рисунок 2: Тактика после компрометации

В этом разделе подробно описаны известные методы и указаны потенциальные возможности для обнаружения.

Использовано вредоносное ПО TEARDROP и BEACON

Было восстановлено несколько образцов SUNBURST, доставляющих различную полезную нагрузку. По крайней мере, в одном случае злоумышленники применили ранее невидимый дроппер только для памяти, который мы назвали TEARDROP, для развертывания Cobalt Strike BEACON.

TEARDROP — это дроппер только для памяти, который работает как служба, порождает поток и считывает из файла «gracious_truth.jpg », который, вероятно, имеет поддельный заголовок JPG. Затем он проверяет, существует ли HKU \ SOFTWARE \ Microsoft \ CTF, декодирует встроенную полезную нагрузку с помощью настраиваемого алгоритма скользящего XOR и вручную загружает в память встроенную полезную нагрузку, используя настраиваемый формат файла, подобный PE. TEARDROP не имеет перекрытия кода с каким-либо ранее обнаруженным вредоносным ПО. Мы полагаем, что это было использовано для выполнения кастомизированного маяка Cobalt Strike BEACON.

Смягчение : FireEye предоставил два правила Yara для обнаружения TEARDROP, доступных на нашем GitHub.Защитники должны искать следующие предупреждения от FireEye HX: MalwareGuard и WindowsDefender:

Информация о процессе

file_operation_closed
file-path *: «c: \\ windows \\ syswow64 \\ netsetupsvc.dll
актор-процесс:
pid: 17900

Записи журнала Exploit Guard защитника Windows: (Microsoft-Windows-Security-Mitigations / KernelMode событие ID 12)

Process ”\ Device \ HarddiskVolume2 \ Windows \ System32 \ svchost.exe” (PID XXXXX) был бы заблокирован для загрузки не подписанного Microsoft двоичного файла
‘\ Windows \ SysWOW64 \ NetSetupSvc.dll ’

Имена хостов атакующего совпадают со средой жертвы

Субъект устанавливает имена хостов в своей инфраструктуре управления и контроля, чтобы они соответствовали законному имени хоста, найденному в среде жертвы. Это позволяет противнику сливаться с окружающей средой, избегать подозрений и ускользать от обнаружения.

Возможность обнаружения

Инфраструктура злоумышленника утекает свое настроенное имя хоста в сертификатах SSL RDP, которые можно идентифицировать в данных сканирования в Интернете.Это дает защитникам возможность обнаружения — запросы к источникам данных сканирования в Интернете на предмет имен хостов организации могут выявить вредоносные IP-адреса, которые могут маскироваться под организацию. (Примечание. История сканирования IP-адресов часто показывает переключение IP-адресов между именами хостов по умолчанию (WIN- *) и именами хостов жертвы). Перекрестная ссылка на список IP-адресов, идентифицированных в данных интернет-сканирования, с журналами удаленного доступа может идентифицировать доказательства этого субъекта в среде. Вероятно, будет одна учетная запись на каждый IP-адрес.

IP-адресов, находящихся в стране жертвы

Выбор злоумышленником IP-адресов также был оптимизирован, чтобы избежать обнаружения. Злоумышленник в основном использовал только IP-адреса из той же страны, что и жертва, используя виртуальные частные серверы.

Возможность обнаружения

Это также дает некоторые возможности обнаружения, поскольку определение местоположения IP-адресов, используемых для удаленного доступа, может показывать невозможную скорость перемещения, если взломанная учетная запись используется законным пользователем и злоумышленником с разных IP-адресов.Злоумышленник использовал несколько IP-адресов для каждого поставщика VPS, поэтому при обнаружении злонамеренного входа в систему из необычного ASN просмотр всех входов в систему из этого ASN может помочь обнаружить дополнительную вредоносную активность. Это может быть сделано вместе с базовым уровнем и нормализацией ASN, используемых для легитимного удаленного доступа, чтобы помочь выявить подозрительную активность.

Боковое перемещение с использованием различных учетных данных

Как только злоумышленник получил доступ к сети со скомпрометированными учетными данными, он переместился в сторону, используя несколько разных учетных данных.Учетные данные, используемые для бокового перемещения, всегда отличались от учетных данных, используемых для удаленного доступа.

Возможность обнаружения

Организации могут использовать модуль LogonTracker компании HX для построения графиков всех операций входа в систему и анализа систем, отображающих взаимосвязь «один ко многим» между исходными системами и учетными записями. Это позволит выявить аутентификацию любой отдельной системы в нескольких системах с несколькими учетными записями, что является относительно редким явлением при обычных деловых операциях.

Замена временного файла и временное изменение задачи

Злоумышленник использовал технику замены временных файлов для удаленного выполнения утилит: они заменили легальную утилиту своей, выполнили свои полезные данные, а затем восстановили законный исходный файл.Они аналогичным образом манипулировали запланированными задачами, обновляя существующую легитимную задачу для выполнения своих инструментов, а затем возвращая запланированную задачу к исходной конфигурации. Они обычно удаляли свои инструменты, в том числе удаляли бэкдоры после получения законного удаленного доступа.

Возможность обнаружения

могут проверять журналы для сеансов SMB, которые показывают доступ к законным каталогам и следуют шаблону удаление-создание-выполнение-удаление-создание за короткий промежуток времени.Кроме того, защитники могут отслеживать существующие запланированные задачи на предмет временных обновлений, используя частотный анализ для выявления аномального изменения задач. За задачами также можно следить, чтобы следить за законными задачами Windows, выполняющими новые или неизвестные двоичные файлы.

Действия этой кампании после взлома проводились с большим вниманием к оперативной безопасности, во многих случаях с использованием выделенной инфраструктуры на каждое вторжение. Это одна из лучших операционных систем безопасности, которые FireEye наблюдала при кибератаках, с упором на уклонение и усиление внутреннего доверия.Однако это может быть обнаружено посредством постоянной защиты.

Углубленный анализ вредоносного ПО

SolarWinds.Orion.Core.BusinessLayer.dll (b91ce2fa41029f6955bff20079468448) — это подписанный SolarWinds подключаемый компонент программной инфраструктуры Orion, который содержит скрытый бэкдор, который обменивается данными через HTTP со сторонними серверами. После первоначального периода бездействия продолжительностью до двух недель он извлекает и выполняет команды, называемые «заданиями», которые включают возможность передачи и выполнения файлов, профилирования системы и отключения системных служб.Поведение бэкдора и сетевой протокол сочетаются с законной деятельностью SolarWinds, например, за счет маскировки под протокол Orion Improvement Program (OIP) и сохранения результатов разведки в файлах конфигурации плагина. Бэкдор использует несколько списков блокировки для идентификации криминалистических и антивирусных инструментов с помощью процессов, служб и драйверов.

Уникальные возможности

• Алгоритм генерации имени домена поддомена (DGA) выполняется для изменения запросов DNS
  • Ответы CNAME указывают на домен C2 для подключения вредоносной программы к
  • IP-блок ответов на запись A контролирует поведение вредоносного ПО
  • Закодированное DGA доменное имя машины, используемое для выборочного нацеливания на жертв
• Управление трафиком маскируется под законную программу улучшения Orion
• Код скрывается на простом сайте за счет использования поддельных имен переменных и привязки к допустимым компонентам

Доставка и установка

Уполномоченные системные администраторы загружают и устанавливают обновления для SolarWinds Orion с помощью пакетов, распространяемых веб-сайтом SolarWinds.Пакет обновления CORE-2019.4.5220.20574-SolarWinds-Core-v2019.4.5220-Hotfix5.msp (02af7cec58b9a5da1c542b5a32151ba1) содержит файл SolarWinds.Orion.Core.BusinessLayer.dll, описанный в этом отчете. После установки программная среда Orion запускает .NET-программу SolarWinds.BusinessLayerHost.exe для загрузки подключаемых модулей, включая SolarWinds.Orion.Core.BusinessLayer.dll. Этот плагин содержит множество допустимых пространств имен, классов и подпрограмм, которые реализуют функциональность в рамках платформы Orion.Скрытый на виду, класс SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer реализует бэкдор на основе HTTP. Код внутри логически не связанной процедуры SolarWinds.Orion.Core.BusinessLayer.BackgroundInventory.InventoryManager.RefreshInternal вызывает код бэкдора при загрузке подключаемого модуля Inventory Manager.

SolarWinds.Orion.Core.BusinessLayer.dll подписан SolarWinds с использованием сертификата с серийным номером 0f: e9: 73: 75: 20: 22: a6: 06: ad: f2: a3: 6e: 34: 5d: c0 : ed.Дело подписано 24 марта 2020 года.

Инициализация

При выполнении вредоносного метода SolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLayer.Initialize образец проверяет, что его имя процесса в нижнем регистре хэшируется до значения 17291806236368054941. Это значение хеш-функции рассчитывается как стандартный 64-битный хэш FNV-1A с дополнительный XOR на 660581333933

Образец выполняется только в том случае, если время записи сборки файловой системы на 12–14 дней раньше текущего времени; точный порог выбирается случайным образом из интервала. Образец продолжает проверять этот временной порог, поскольку он выполняется законной повторяющейся фоновой задачей. После достижения порогового значения в образце создается именованный канал 583da945-62af-10e8-4902-a8f205c72b2e, который действует как защита от запуска только одного экземпляра перед чтением SolarWinds.Orion.Core.BusinessLayer.dll.config с диска и получение XML-поля appSettings. Ключи полей appSettings — это допустимые значения, которые злонамеренная логика использует как постоянную конфигурацию. Ключ ReportWatcherRetry должен иметь любое значение, кроме 3, чтобы образец продолжил выполнение.

Образец проверяет, присоединен ли компьютер к домену, и получает имя домена перед продолжением выполнения. Идентификатор пользователя создается путем вычисления MD5 MAC-адреса сетевого интерфейса, который подключен, а не устройства обратной связи, имени домена и значения реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ MachineGuid.ID пользователя кодируется с помощью специальной схемы XOR после вычисления MD5. Затем ключ ReportWatcherPostpone appSettings считывается из SolarWinds.Orion.Core.BusinessLayer.dll.config для получения начального допустимого значения. Эта операция выполняется по мере того, как образец более поздних битовых пакетов упаковывает флаги в это поле, и для считывания битовых флагов необходимо знать начальное значение. Затем образец вызывает метод Update, который является основным циклом событий образца.

DGA и черные списки

Бэкдор определяет свой сервер C2, используя алгоритм генерации домена (DGA) для создания и разрешения поддомена avsvmcloud [.] ком. Метод Update отвечает за инициализацию криптографических помощников для генерации этих случайных субдоменов C2. Поддомены создаются путем объединения идентификатора пользователя жертвы с обратимым кодированием имени домена локальной машины жертвы. Злоумышленник, вероятно, использует поддомен DGA для изменения ответа DNS жертвам в качестве средства контроля нацеливания вредоносного ПО. Эти поддомены объединяются с одним из следующих для создания имени хоста для разрешения:

• .appsync-api.eu-west-1 [.] avsvmcloud [.] com
• .appsync-api.us-west-2 [.] Avsvmcloud [.] Com
• .appsync-api.us-east-1 [.] Avsvmcloud [.] Com
• .appsync-api.us-east-2 [.] Avsvmcloud [.] Com

Получаются списки имени процесса, имени службы и пути драйвера, и каждое значение хешируется с помощью алгоритма FNV-1a + XOR, как описано ранее, и проверяется на жестко закодированные списки блокировки. Некоторые из этих хэшей были перевернуты методом перебора в рамках этого анализа, показывая, что эти процедуры сканируют инструменты анализа и компоненты антивирусного ядра.Если обнаружен процесс, занесенный в черный список, процедура обновления завершается, и образец будет продолжать попытки выполнить процедуру до тех пор, пока не будет пройден блокированный список. Внесенные в черный список службы останавливаются путем установки для их записей реестра HKLM \ SYSTEM \ CurrentControlSet \ services \ \ Start значение 4 для отключения. Некоторые записи в списке служб, если они обнаружены в системе, могут повлиять на поведение алгоритмов DGA с точки зрения генерируемых значений. Затем список остановленных служб упаковывается по битам в ключ ReportWatcherPostpone записи appSettings для файла конфигурации образцов.Если какая-либо служба была отключена, метод обновления завершается и повторяется позже. Образец получает список драйверов с помощью запроса WMI Select * From Win32_SystemDriver. Если обнаружен какой-либо драйвер из черного списка, метод обновления завершается и повторяется. Если все тесты черного списка пройдены, образец пытается разрешить api.solarwinds.com, чтобы проверить подключение к сети.

Сетевое управление и контроль (C2)

Если все проверки списков блокировки и подключения пройдены, образец начинает генерировать домены в цикле while через DGA.Выборка будет задерживаться на случайные интервалы между генерациями доменов; этот интервал может быть любым случайным значением из диапазонов от 1 до 3 минут, от 30 до 120 минут или в условиях ошибки до 420-540 минут (9 часов). Запись DNS A сгенерированных доменов проверяется по жестко запрограммированному списку блоков IP-адресов, которые контролируют поведение вредоносного ПО. Записи в следующих диапазонах остановят вредоносную программу и обновят ключ конфигурации ReportWatcherRetry до значения, которое предотвращает дальнейшее выполнение:

• 10.0,0.0 / 8
• 172.16.0.0/12
• 192.168.0.0/16
• 224.0.0.0/3
• fc00 :: — fe00 ::
• fec0 :: — ffc0 ::
• ff00 :: — ff00 ::
• 20.140.0.0/15
• 96.31.172.0/24
• 131.228.12.0/22 ​​
• 144.86.226.0/24

После того, как домен был успешно получен в ответе CNAME DNS, образец порождает новый поток выполнения, вызывающий метод HttpHelper.Initialize, который отвечает за все коммуникации и отправку C2.Поток HTTP начинается с задержки на настраиваемое время, которое контролируется командой SetTime. Поток HTTP будет задерживаться минимум на 1 минуту между вызовами. Вредоносная программа использует запросы HTTP GET или HTTP POST. Если образец пытается отправить исходящие данные, HTTP-заголовок типа содержимого будет установлен на «application / octet-stream», иначе на «application / json».

Полезная нагрузка JSON присутствует для всех запросов HTTP POST и PUT и содержит ключи «userId», «sessionId» и «steps».Поле «шаги» содержит список объектов со следующими ключами: «Отметка времени», «Индекс», «Тип события», «Имя события», «DurationMs», «Успешно» и «Сообщение». Ключ JSON «EventType» жестко запрограммирован на значение «Orion», а «EventName» жестко запрограммирован на «EventManager». Ответные сообщения вредоносного ПО для отправки на сервер сжимаются DEFLATE и кодируются однобайтовым XOR, а затем разделяются между полями «Сообщение» в массиве «шагов». Каждое значение «Сообщение» отдельно закодировано в Base64. Не все объекты в массиве «шагов» вносят вклад в сообщение о вредоносной программе — целое число в поле «Отметка времени» должно иметь бит 0x2, чтобы указать, что содержимое поля «Сообщение» используется в сообщении о вредоносной программе.Объекты Step, бит 0x2 которых в поле Timestamp снят, содержат случайные данные и отбрасываются при сборке ответа вредоносной программы.

Стеганография

В наблюдаемом трафике эти тела HTTP-ответов пытаются выглядеть как чистый XML, связанный со сборками .NET, но данные команд фактически распределены по множеству имеющихся строк GUID и HEX. Команды извлекаются из тела ответа HTTP путем поиска строк HEX с использованием следующего регулярного выражения: «\ {[0-9a-f -] {36} \}» | «[0-9a-f] {32}» | » [0-9a-f] {16} «.Данные команды распределены по нескольким строкам, замаскированным под строки GUID и HEX. Все совпадающие подстроки в ответе фильтруются на предмет наличия не шестнадцатеричных символов, объединяются и декодируются в шестнадцатеричном формате. Первое значение DWORD показывает фактический размер сообщения, за которым сразу следует сообщение с необязательными дополнительными байтами нежелательной почты. Извлеченное сообщение декодируется однобайтовым методом XOR с использованием первого байта сообщения, а затем распаковывается DEFLATE. Первый символ — это целое число ASCII, которое отображается в перечисление JobEngine, с необязательными дополнительными аргументами команды, разделенными пробелами.

Команды затем отправляются в JobExecutionEngine на основе значения команды, как описано ниже.

Поддерживаемые команды

Индикаторы и средства обнаружения в помощь сообществу

Чтобы дать сообществу возможность обнаруживать этот бэкдор в цепочке поставок, мы публикуем индикаторы и средства обнаружения, чтобы помочь организациям идентифицировать этот бэкдор и этого злоумышленника. Подписи представляют собой смесь форматов Yara, IOC и Snort.

Список обнаружений и сигнатур доступен в репозитории FireEye на GitHub здесь. Мы выпускаем обнаружения и продолжим обновлять общедоступный репозиторий с перекрывающимися обнаружениями для узловых и сетевых индикаторов по мере разработки новых или уточнения существующих.Мы нашли несколько хешей с помощью этого бэкдора и будем публиковать обновления этих хэшей.

Наблюдаемые методы MITER ATT & CK

Рекомендации по немедленному смягчению последствий

До выполнения рекомендаций SolarWind по использованию платформы Orion версии 2020.2.1 HF 1, который в настоящее время доступен через портал для клиентов SolarWinds, организациям следует рассмотреть возможность сохранения затронутых устройств и создания новых систем с использованием последних версий. Применение обновления к поврежденному блоку может потенциально перезаписать данные судебно-медицинской экспертизы, а также оставить в системе дополнительные лазейки. Кроме того, компания SolarWinds опубликовала здесь дополнительные инструкции по смягчению и усилению защиты.

Если вы не можете следовать рекомендациям SolarWinds, ниже представлены методы немедленного устранения последствий, которые могут быть применены в качестве первых шагов для снижения риска заражения троянизированным программным обеспечением SolarWinds в среде.Если в среде обнаруживается активность злоумышленника, мы рекомендуем провести всестороннее расследование, а также разработать и реализовать стратегию исправления, основанную на результатах расследования и деталях уязвимой среды.

• Убедитесь, что серверы SolarWinds изолированы / содержатся до тех пор, пока не будет проведена дальнейшая проверка и расследование. Это должно включать блокировку всего исходящего трафика из Интернета с серверов SolarWinds.
• Если инфраструктура SolarWinds не изолирована, подумайте о том, чтобы предпринять следующие шаги:
  • Ограничьте возможности подключения к конечным точкам с серверов SolarWinds, особенно к тем, которые считаются активами уровня 0 / жемчужиной короны
  • Ограничьте область учетных записей с привилегиями локального администратора на серверах SolarWinds.
  • Блокируйте выход в Интернет с серверов или других конечных точек с помощью программного обеспечения SolarWinds.
• Рассмотрите возможность (как минимум) изменения паролей для учетных записей, имеющих доступ к серверам / инфраструктуре SolarWinds. На основании дальнейшего рассмотрения / расследования могут потребоваться дополнительные меры по исправлению положения.
• Если SolarWinds используется для управляемой сетевой инфраструктуры, рассмотрите возможность проведения проверки конфигураций сетевых устройств на предмет непредвиденных / несанкционированных изменений.Обратите внимание, что это превентивная мера из-за объема функциональности SolarWinds, а не на основании результатов расследования.

Благодарности

Этот пост в блоге стал результатом совместных усилий многочисленных сотрудников и команд FireEye. Особая благодарность:

Эндрю Арчер, Дуг Бинсток, Крис ДиДжиамо, Гленн Эдвардс, Ник Хорник, Алекс Пеннино, Эндрю Ректор, Скотт Раннелс, Эрик Скейлс, Налани Фрейзер, Сара Джонс, Джон Халтквист, Бен Рид, Джон Лезери, Фред Хаус, Дилип Джаллепалли, Майкл Сикорски, Стивен Экелс, Уильям Баллентин, Джей Смит, Алекс Берри, Ник Ричард, Исиф Ибрагима, Дэн Перес, Марцин Седларц, Бен Витнелл, Барри Венгерик, Николь Оппенгейм, Ян Аль, Эндрю Томпсон, Мэтт Данвуди, Эван Риз, Стив Миллер, Алисса Рахман, Джон Горман, Леннард Галанг, Стив Стоун, Ник Беннетт, Мэтью МакВхирт, Майк Бернс, Омер Бейг.