A Marquis Software Solutions, empresa texana que oferece serviços financeiros, atribuiu a um ataque de ransomware ocorrido em agosto de 2025 a origem da falha de segurança que afetou seus sistemas, impactando dezenas de bancos e cooperativas de crédito nos Estados Unidos.
A vulnerabilidade foi revelada após uma invasão reportada pela SonicWall um mês depois.
A Marquis fornece soluções como análise de dados, relatórios de compliance, ferramentas de CRM e serviços de marketing digital para mais de 700 instituições financeiras americanas, incluindo bancos, cooperativas de crédito e credores hipotecários.
Em comunicado recente aos clientes, a empresa esclareceu que os operadores do ransomware não acessaram seus sistemas explorando uma falha não corrigida em firewalls da SonicWall, como se acreditava inicialmente.
Na verdade, os criminosos utilizaram informações extraídas de arquivos de backup da configuração dos firewalls, obtidos após acesso não autorizado ao portal online MySonicWall, da SonicWall.
“Com base na investigação conduzida por terceiros, determinamos que o atacante conseguiu contornar nosso firewall utilizando dados de configuração extraídos do vazamento em nuvem do provedor de serviços”, afirmou a Marquis.
A companhia também informou que avalia medidas legais contra o fornecedor do firewall, incluindo o ressarcimento das despesas que ela e seus clientes tiveram para responder ao incidente.
A SonicWall revelou a brecha de segurança em 17 de setembro, orientando seus clientes a redefinirem as credenciais de acesso ao MySonicWall.
Na ocasião, a empresa afirmou que o incidente atingiu aproximadamente 5% dos clientes que utilizam seu serviço de backup em nuvem para firewalls.
Além disso, alertou que os atacantes poderiam extrair credenciais e tokens de acesso, facilitando o comprometimento dos firewalls afetados.
Contudo, cerca de três semanas depois, a SonicWall atualizou suas informações, confirmando que todos os clientes do serviço de backup em nuvem foram afetados pelo vazamento.
Um mês após o ataque inicial, a empresa divulgou que uma investigação da Mandiant encontrou evidências ligando o incidente a hackers patrocinados por governos.
Importante destacar que esse ataque ao MySonicWall não tem relação com a campanha da gangue Akira de ransomware, que, no final de setembro, mirou contas VPN da SonicWall protegidas por MFA.
Em 13 de outubro, a empresa de cibersegurança Huntress reportou comprometimento em mais de 100 contas SonicWall SSLVPN em uma grande campanha que utilizou credenciais válidas roubadas.
No entanto, a Huntress não encontrou indícios de que essas invasões estivessem relacionadas ao vazamento do backup em nuvem da SonicWall.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...