A empresa Marquis Software Solutions, fornecedora de softwares financeiros, alertou sobre uma violação de dados que afetou dezenas de bancos e cooperativas de crédito nos Estados Unidos.
A Marquis oferece soluções de análise de dados, ferramentas de CRM, relatórios de compliance e marketing digital para mais de 700 instituições financeiras, incluindo bancos, cooperativas de crédito e credores hipotecários.
De acordo com notificações de violação de dados registradas junto aos escritórios do Procurador-Geral dos EUA, o incidente ocorreu em 14 de agosto de 2025, quando a empresa sofreu um ataque de ransomware.
Os agentes maliciosos acessaram a rede da empresa explorando uma vulnerabilidade no firewall SonicWall.
Durante o ataque, os hackers conseguiram copiar “certos arquivos dos sistemas” da companhia.
A revisão interna revelou que esses arquivos continham informações pessoais de clientes corporativos.
Conforme comunicado enviado ao escritório do Procurador-Geral do estado do Maine, os dados expostos incluíram nomes, endereços, números de telefone, números de Seguro Social, números de identificação fiscal, informações financeiras — sem códigos de segurança ou dados de acesso — além de datas de nascimento.
A Marquis está notificando os clientes afetados, detalhando o número de pessoas impactadas por banco e estado.
Documentos indicam que dados semelhantes foram comprometidos em outras regiões dos EUA.
Notificações apresentadas em Maine, Iowa e Texas apontam que mais de 400 mil clientes de 74 bancos e cooperativas de crédito estão envolvidos nessa violação.
Até o momento, a empresa afirma não haver indícios de uso indevido ou divulgação pública das informações roubadas.
Contudo, segundo reportagem da Comparitech, um arquivo deletado pela cooperativa Community 1st indicou que a Marquis teria feito um pagamento de resgate para evitar a divulgação e o abuso dos dados roubados.
“O pagamento do ransomware pela Marquis ocorreu logo após 14/08/2025.
Em 27/10/2025, a C1st foi informada de que informações pessoais não públicas relacionadas aos seus membros foram incluídas na violação”, dizia a notificação eliminada, conforme apurado pela Comparitech.
Enquanto as notificações oficiais mencionam apenas que medidas foram tomadas para reduzir riscos futuros, um documento enviado pela CoVantage Credit Union ao Procurador-Geral de New Hampshire detalha as ações de segurança implementadas pela Marquis para fortalecer suas defesas.
Entre as medidas adotadas estão:
- Manutenção de todos os firewalls atualizados e com patch aplicado;
- Rotação de senhas para contas locais;
- Exclusão de contas antigas ou não utilizadas;
- Ativação da autenticação multifator (MFA) para todas as contas de firewall e VPN;
- Aumento do tempo de retenção dos logs dos firewalls;
- Aplicação de políticas de bloqueio automático após múltiplas tentativas de login malsucedidas na VPN;
- Implementação de filtragem geo-IP para restringir conexões a países relevantes para as operações;
- Bloqueio automático de conexões para e de servidores de Controle e Comando de botnets no firewall.
Essas ações indicam que o acesso inicial dos invasores ocorreu por meio de uma conta VPN SonicWall, método comum em ataques de grupos de ransomware, como o Akira.
Embora a Marquis não tenha divulgado mais detalhes sobre o ataque, sabe-se que o grupo Akira vem explorando firewalls SonicWall para obter acesso inicial desde setembro de 2024.
O grupo aproveita a vulnerabilidade
CVE-2024-40766
em dispositivos SonicWall SSL VPN, que permite roubar usernames, senhas e seeds necessários para gerar códigos OTP (one-time password).
Mesmo após a correção da falha pela SonicWall, muitas organizações não redefiniram suas credenciais VPN, o que permitiu que o Akira continuasse a invadir sistemas com credenciais previamente roubadas.
Relatórios recentes mostram que o grupo consegue acessar contas VPN mesmo com MFA ativo, o que indica que os seeds para geração dos códigos OTP foram extraídos na fase inicial da exploração.
Uma vez dentro da rede via VPN, os atacantes realizam varreduras para reconhecimento, elevam privilégios no Active Directory do Windows, exfiltram dados e só então executam o ransomware.
Esse incidente reforça a necessidade de monitoramento constante, aplicação rigorosa de patches, controle de credenciais e reforço da autenticação em ambientes corporativos críticos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...