Marquis Software Solutions confirmó que un ataque a través de un firewall SonicWall permitió el robo de información personal perteneciente a decenas de bancos y cooperativas de crédito en distintos estados del país.
El proveedor tecnológico Marquis Software Solutions informó que un incidente de ransomware ocurrido en agosto pasado permitió que atacantes accedieran a su red y extrajeran archivos con datos personales proporcionados por algunas de las entidades financieras que utilizan sus servicios en los Estados Unidos. La compañía, que presta herramientas de analítica, CRM, reportes de cumplimiento y marketing digital a más de 700 bancos, cooperativas de crédito y prestamistas hipotecarios, realizó la notificación a través de los registros enviados a las oficinas de los fiscales generales de varios estados.
Según los reportes oficiales, la intrusión ocurrió mediante la explotación de su firewall SonicWall. “El análisis determinó que los archivos contenían información personal recibida de ciertos clientes comerciales”, señala la comunicación remitida al fiscal general del Estado de Maine. Allí se detalla que, para los residentes de ese estado, los datos comprometidos incluyen “nombres, direcciones, números de teléfono, números de Seguro Social, números de Identificación del Contribuyente, información de cuentas financieras sin códigos de acceso y fechas de nacimiento”.
La empresa se encuentra notificando a las instituciones afectadas y, en algunos estados, desglosa el número de personas impactadas por entidad financiera. Los documentos del caso en Maine, Iowa y Texas indican que más de 400 mil clientes fueron alcanzados por la brecha, correspondiente a 74 bancos y cooperativas de crédito, entre ellos 1st Northern California Credit Union, Capital City Bank Group, Educators Credit Union, Founders Federal Credit Union, MIT Federal Credit Union, Suncoast Credit Union, Valley Strong Credit Union y Westerra Credit Union, entre otros.
Hasta el momento, la firma sostiene que no existe evidencia de uso indebido o difusión pública de los datos sustraídos. Sin embargo, un registro posteriormente eliminado por Community 1st Credit Union, citado por el medio Comparitech, afirmaba que Marquis habría realizado un pago a los atacantes alrededor del 14 de agosto.
A la par de las investigaciones internas, la compañía indicó que adoptó medidas para evitar nuevos incidentes. Un aviso presentado por CoVantage Credit Union ante el fiscal general de New Hampshire especifica que Marquis reforzó sus controles asegurando que todos los dispositivos firewall estén actualizados, rotando contraseñas locales, eliminando cuentas inactivas, habilitando autenticación multifactor en accesos VPN, ampliando la retención de logs, aplicando políticas de bloqueo tras múltiples intentos fallidos, incorporando filtrado geográfico de direcciones IP y bloqueando conexiones hacia servidores identificados como parte de redes de comando y control.
Las medidas implementadas sugieren que los atacantes habrían ingresado mediante una cuenta VPN en equipos SonicWall, una técnica utilizada por grupos de ransomware como Akira. Desde septiembre de 2024, esta operación criminal ha apuntado a firewalls SonicWall explotando la vulnerabilidad CVE-2024-40766 para obtener credenciales, incluyendo semillas de códigos OTP. Incluso tras la corrección del fallo, muchas organizaciones no restablecieron sus credenciales, permitiendo que los accesos comprometidos siguieran siendo válidos. Reportes recientes indican que el grupo continúa ingresando a sistemas SonicWall, incluso con MFA habilitado, lo que refuerza la hipótesis de que las semillas de autenticación fueron robadas.
Una vez dentro, los atacantes suelen ejecutar movimientos laterales, elevar privilegios dentro de Active Directory, recopilar información sensible y, finalmente, desplegar el cifrado de los sistemas. El incidente de Marquis se mantiene en análisis mientras las entidades afectadas continúan informando a sus clientes.