Marquis Software Solutions, proveedor de servicios financieros con sede en
Texas,
atribuye un ataque de ransomware que afectó a sus sistemas y a decenas de
bancos y cooperativas de crédito estadounidenses en agosto de 2025 a una
brecha de seguridad reportada por SonicWall un mes después.
La empresa de software ofrece análisis de datos, informes de cumplimiento,
herramientas CRM y servicios de marketing digital a más de 700 bancos,
cooperativas de crédito y entidades hipotecarias en todo Estados Unidos.
En declaraciones a clientes a principios de esta semana, Marquis afirma que
los operadores del ransomware no violaron sus sistemas explotando un firewall
de SonicWall sin parchear, como se creía anteriormente. En cambio,
los atacantes utilizaron información obtenida de archivos de copia de
seguridad de la configuración del firewall,
robados tras obtener acceso no autorizado al portal de clientes en línea
MySonicWall de SonicWall.
«Basándonos en la investigación en curso de terceros, hemos determinado que
el actor de amenazas que atacó a Marquis logró eludir nuestro firewall
aprovechando los datos de configuración extraídos de la brecha de seguridad
en la nube del proveedor de servicios», declaró Marquis.
SonicWall reveló la brecha de seguridad mencionada por Marquis el 17 de
septiembre, cuando
advirtió a sus clientes
que restablecieran las credenciales de sus cuentas de MySonicWall y afirmó que
el incidente afectó solo a alrededor del 5% de sus clientes de firewall que
utilizan su servicio de copia de seguridad en la nube.
La compañía también advirtió que los actores de amenazas podrían extraer
credenciales de acceso y tokens, lo que
facilitaría significativamente
la vulneración de los firewalls de los clientes afectados. Sin embargo,
aproximadamente tres semanas después, SonicWall publicó una actualización
confirmando que todos los clientes que utilizan su servicio de copia de
seguridad en la nube se vieron afectados por la brecha de septiembre.
Un mes después, publicó otra actualización indicando que una investigación de
Mandiant sobre el ataque de septiembre
encontró evidencia
que vinculaba el incidente con hackers patrocinados por estados.
SonicWall añadió que la brecha de MySonicWall no estaba relacionada con los
ataques del grupo de ransomware Akira, que afectó a las cuentas VPN de
SonicWall protegidas con MFA a finales de septiembre.
La empresa de ciberseguridad
Huntress informó
el 13 de octubre que había observado a actores de amenazas comprometiendo más
de 100 cuentas SSLVPN de SonicWall en una campaña a gran escala utilizando
credenciales válidas robadas. Sin embargo, Huntress no encontró ninguna
evidencia que vinculara estos ataques con el hackeo a las copias de seguridad
en la nube de SonicWall, y SonicWall no respondió a las solicitudes de
comentarios de BleepingComputer en ese momento.
Fuente:
BC