Marquis Software Solutions, un proveedor de servicios financieros con sede en Texas, ha atribuido un ataque de ransomware que afectó a sus sistemas y a múltiples bancos y cooperativas de crédito en EE. UU. en agosto de 2025 a una brecha de seguridad reportada por SonicWall un mes después.

Esta empresa de software proporciona análisis de datos, informes de cumplimiento, herramientas CRM y servicios de marketing digital a más de 700 bancos, cooperativas de crédito y entidades hipotecarias en todo Estados Unidos.

En recientes declaraciones a sus clientes, Marquis sostiene que los atacantes de ransomware no accedieron a sus sistemas aprovechando un firewall de SonicWall sin parches, como se había creído. En cambio, los atacantes utilizaron datos obtenidos de archivos de configuración del firewall que fueron robados tras acceder sin autorización al portal de clientes en línea MySonicWall de SonicWall.

«Con base en la investigación de terceros en marcha, hemos determinado que el actor de amenazas que atacó a Marquis logró eludir nuestro firewall aprovechando los datos de configuración extraídos de la brecha de seguridad en la nube del proveedor de servicios», afirmó Marquis.

SonicWall dio a conocer la brecha de seguridad mencionada el 17 de septiembre, cuando instó a sus clientes a restablecer las credenciales de sus cuentas de MySonicWall y señaló que el incidente había afectado a aproximadamente el 5% de sus clientes de firewall que utilizan su servicio de copia de seguridad en la nube.

La compañía también advirtió que los atacantes podrían extraer credenciales de acceso y tokens, lo que facilitaría significativamente la vulneración de los firewalls de los clientes afectados. Sin embargo, aproximadamente tres semanas después, SonicWall publicó una actualización confirmando que todos los clientes que utilizan su servicio de copia de seguridad en la nube se vieron afectados por la brecha de septiembre.

Un mes después, emitió otra actualización que indicaba que una investigación de Mandiant sobre el ataque de septiembre encontró evidencia que vinculaba el incidente con hackers patrocinados por estados.

SonicWall también aclaró que la brecha de MySonicWall no estaba relacionada con los ataques del grupo de ransomware Akira, que impactó a las cuentas VPN de SonicWall protegidas por MFA a finales de septiembre.

La empresa de ciberseguridad Huntress reportó el 13 de octubre que había detectado a actores de amenazas comprometieron más de 100 cuentas SSLVPN de SonicWall en una campaña masiva utilizando credenciales robadas. Sin embargo, Huntress no encontró evidencia que conectara estos ataques con el hackeo a las copias de seguridad en la nube de SonicWall, y la compañía no respondió a las solicitudes de comentarios de BleepingComputer en ese momento.

Fuente:
BC


Con Información de blog.segu-info.com.ar