Meer dan 74 banken en kredietunies in de Verenigde Staten zijn getroffen door een grote datalek bij de financiële softwareleverancier Marquis Software Solutions. Dat blijkt uit meldingen die momenteel breed worden verspreid via onder meer Reuters, TechCrunch, BleepingComputer en andere grote platforms.
Het in Texas gevestigde bedrijf, dat data-analyse, CRM-tools, marketingdiensten en compliance-rapportages levert aan honderden financiële instellingen, heeft bevestigd dat zijn systemen zijn gecompromitteerd tijdens een ransomware-aanval op 14 augustus. Volgens Marquis kregen de aanvallers toegang via een kwetsbaarheid in een SonicWall-firewall, waardoor ze het netwerk konden binnendringen en bestanden met gevoelige klantgegevens konden stelen.
Volgens meldingen aan meerdere Amerikaanse openbaar aanklagers omvat de gestolen informatie onder meer namen, adressen, telefoonnummers, sofinummers, belasting-ID’s, geboortedata en financiële accountgegevens. Naar schatting zijn inmiddels meer dan 400.000 klanten getroffen.
Marquis verstuurt namens zijn klanten meldingen over het datalek, maar heeft niet publiekelijk bekendgemaakt om welke financiële instellingen het gaat. Het bedrijf stelt dat er vooralsnog geen bewijs is dat de gestolen data is misbruikt of uitgelekt.
Uit een inmiddels verwijderde melding van een getroffen kredietunie, ingezien door Comparitech, blijkt echter dat Marquis kort na de aanval losgeld heeft betaald – een maatregel die doorgaans bedoeld is om openbaarmaking van de gestolen data te voorkomen.
Als reactie op het datalek heeft Marquis zijn beveiligingsmaatregelen aangescherpt. Volgens documenten bij Amerikaanse staten worden firewalls gepatcht, wachtwoorden geroteerd, oude accounts verwijderd, multifactorauthenticatie afgedwongen, logging uitgebreid en verkeer van verdachte IP-adressen geblokkeerd. De genomen maatregelen wijzen erop dat de aanvallers waarschijnlijk toegang kregen via gecompromitteerde SonicWall VPN-gegevens – een methode die in verband wordt gebracht met de Akira-ransomwaregroep, die deze apparaten sinds 2024 herhaaldelijk heeft misbruikt.
Vorige maand werden ook meerdere Wall Street-banken, waaronder JPMorgan en Citi, getroffen door een mogelijk datalek.
SonicWall was eerder al onderdeel van een supply chain-hack in november via het Gainsight-platform. Het is echter nog niet duidelijk of beide incidenten met elkaar in verband staan.
