Atacurile îndreptate spre furnizorii de servicii IT din domeniul financiar au devenit frecvente; cel mai recent incident implică furnizorul american Marquis Software Solutions, care a raportat un atac de tip ransomware ce a afectat zeci de bănci și cooperative de credit din Statele Unite. Marquis, companie ce oferă analize de date, instrumente CRM, rapoarte de conformitate și servicii de marketing digital pentru peste 700 de bănci, cooperative de credit și creditori ipotecari, a anunțat că rețeaua sa a fost compromisă pe 14 august 2025 printr‑o vulnerabilitate a unui firewall SonicWall, ceea ce a permis atacatorilor să copieze anumite fișiere din sistemele sale. În notificarea depusă la biroul procurorului general din statul Maine se precizează că acele fișiere conțineau informații personale primite de la anumiți clienți business, iar pentru rezidenții din Maine datele pot include nume, adrese, numere de telefon, numere de securitate socială, numere de identificare fiscală, informații despre conturi financiare fără coduri de acces și date de naștere.
Marquis trimite notificări în numele clienților săi și, în anumite situații, specifică câte persoane au fost afectate pentru fiecare instituție dintr‑un stat. Din notificările depuse în Maine, Iowa și Texas rezultă că peste 400.000 de clienți ar fi fost afectați, iar lista instituțiilor vizate include 74 de bănci și cooperative de credit: 1st Northern California Credit Union, Abbott Laboratories Employees Credit Union, Advantage Federal Credit Union, Agriculture Federal Credit Union, Alltrust Credit Union, BayFirst National Bank, Bellwether Community Credit Union, C&N Bank, Cape Cod Five, Capital City Bank Group, Central Virginia Federal Credit Union, Clark County Credit Union, Community 1st Credit Union, Community Bancshares of Mississippi, Inc., Cornerstone Community Financial Credit Union, CPM Federal Credit Union, CSE Federal Credit Union, CU Hawaii Federal Credit Union, d/b/a Community Bank, Discovery Federal Credit Union, Earthmover Credit Union, Educators Credit Union, Energy Capital Credit Union, Fidelity Cooperative Bank, First Community Credit Union, First Northern Bank of Dixon, Florida Credit Union, Fort Community Credit Union, Founders Federal Credit Union, Freedom of Maryland Federal Credit Union, Gateway First Bank, Generations Federal Credit Union, Gesa Credit Union, Glendale Federal Credit Union, Hope Federal Credit Union, IBERIABANK n/k/a First Horizon Bank, Industrial Federal Credit Union, Interior Federal, Interior Federal Credit Union, Interra Credit Union, Jonestown Bank & Trust Co., Kemba Financial Credit Union, Liberty First Credit Union, Maine State Credit Union, Market USA FCU, MemberSource Credit Union, Michigan First Credit Union, MIT Federal Credit Union, New Orleans Firemen’s Federal Credit Union, New Peoples Bank, Newburyport Five Cents Savings Bank, NIH Federal Credit Union, Pasadena Federal Credit Union, Pathways Financial Credit Union, Peake Federal Credit Union, Pelican Credit Union, Pentucket Bank, PFCU Credit Union, QNB Bank, Security Credit Union, Seneca Savings, ServU Credit Union, StonehamBank Cooperative, Suncoast Credit Union, Texoma Community Credit Union, Thomaston Savings Bank, Time Bank, TowneBank, Ulster Savings Bank, University Credit Union, Valley Strong Credit Union, Westerra Credit Union, Whitefish Credit Union și Zing Credit Union. În prezent, compania afirmă că nu există dovezi că datele ar fi fost folosite sau publicate.
Anumite documente publice dezvăluie detalii suplimentare care nu apar explicit în comunicările oficiale ale Marquis. Comparitech a relatat despre o notificare ulterior ștearsă de Community 1st Credit Union, în care aceasta susținea că Marquis ar fi plătit o răscumpărare pentru a împiedica scurgerea și folosirea abuzivă a datelor furate. În timp ce notificările oficiale ale Marquis menționează doar că au fost adoptate măsuri pentru a reduce riscul unor incidente similare, o depunere făcută de CoVantage Credit Union la biroul procurorului general din New Hampshire conține o listă mai detaliată a măsurilor de securitate implementate de Marquis: actualizarea completă a dispozitivelor firewall, schimbarea parolelor pentru conturile locale, eliminarea conturilor vechi sau neutilizate, activarea autentificării multi-factor pentru toate conturile de firewall și VPN, prelungirea perioadei de păstrare a jurnalelor de evenimente pentru firewall, aplicarea unor politici care blochează conturile după prea multe încercări eșuate la VPN, filtrare geo‑IP pentru a permite conexiuni doar din țările necesare activității și blocarea automată a conexiunilor către sau dinspre servere identificate ca făcând parte din rețele botnet de comandă și control. Pe scurt, schimbarea lacătului după ce cineva a pătruns, doar că făcută mai organizat și cu mult mai mult logging.
Aceste acțiuni indică că atacatorii au obținut cel mai probabil inițial acces printr‑un cont VPN SonicWall, o metodă deja asociată cu grupuri de ransomware. Grupul Akira, menționat în raportări anterioare, a vizat dispozitive SonicWall încă din septembrie 2024, exploatând vulnerabilitatea CVE-2024-40766 pentru a fura nume de utilizator VPN, parole și seed‑uri folosite la generarea codurilor unice. Chiar după ce SonicWall a publicat un patch pentru acea vulnerabilitate, multe organizații nu și‑au resetat acreditările VPN, permițând atacatorilor să continue accesul cu informațiile furate anterior. Rapoarte recente arată că grupul se autentifică în continuare chiar și atunci când MFA este activat, ceea ce sugerează că seed‑urile OTP ar fi fost compromise în exploatarea inițială. Odată obținut accesul prin VPN, atacatorii scanează rapid rețeaua, fac recunoaștere, escaladează privilegii în Active Directory și exfiltrează date înainte de a porni componenta de criptare.
Akira este menționat în notificări ca un actor ce vizează dispozitivele SonicWall. Problema principală rămâne riscul furnizorilor terți care gestionează date sensibile și necesitatea nu doar de a aplica patchuri, ci și de a reseta acreditările compromise și de a menține politici stricte de acces acolo unde se utilizează MFA. Impactul asupra celor 74 de instituții și a peste 400.000 de clienți subliniază cât de repede un incident tehnic se poate transforma într‑o problemă de confidențialitate ce impune notificări legale. Ce te-ar liniști mai mult ca utilizator, primirea imediată a unei notificări din partea instituției sau dovezi concludente că datele nu au fost folosite?
Fii primul care comentează