Atak ransomware na Marquis Software: jak incydent dostawcy uderzył w banki i klientów (przypadek VeraBank i Artisans’ Bank)

securitybeztabu.pl 4 godzin temu

Wprowadzenie do problemu / definicja luki

Incydenty typu third-party breach (naruszenie u dostawcy) coraz częściej wywołują największe szkody nie tam, gdzie doszło do włamania, ale u klientów dostawcy. W końcówce 2025 r. dobrym przykładem stał się atak ransomware na Marquis Software Solutions – firmę świadczącą usługi marketingowe, komunikacyjne i analityczne dla banków oraz unii kredytowych. Dwie kolejne instytucje – VeraBank i Artisans’ Bank – oficjalnie poinformowały klientów, iż ich dane mogły zostać skopiowane właśnie z systemów dostawcy, a nie z systemów banku.

W skrócie

  • Kiedy: wykrycie podejrzanej aktywności i potwierdzenie ataku ransomware – 14 sierpnia 2025.
  • Wektor: dostęp przez urządzenie SonicWall (firewall/VPN) i możliwa kradzież plików.
  • Skala: Marquis informował, iż między 27.10 a 25.11 powiadomił co najmniej 74 instytucje finansowe o potencjalnym objęciu danych incydentem.
  • Rodzaje danych: m.in. imię i nazwisko, adres, telefon, SSN/TIN, data urodzenia oraz wybrane dane o rachunkach (bez kodów dostępu).
  • Downstream victims: Artisans’ Bank wskazał naruszenie danych (w tym SSN) ok. 32 344 osób, a w przypadku VeraBank zgłoszono łącznie 37 318 poszkodowanych (szczegóły danych nie zostały ujawnione w listach).

Kontekst / historia / powiązania

Marquis działa jako zewnętrzny dostawca dla sektora finansowego (marketing, komunikacja z klientem, analityka). To ważne, bo takie firmy zwykle przetwarzają „niepubliczne dane osobowe” (PII/NPI) w imieniu banków – często w formie eksportów, list mailingowych, segmentów marketingowych czy danych do personalizacji komunikacji.

W przypadku VeraBank wprost opisano rolę Marquis jako dostawcy „customer communication and data analysis vendor” – czyli podmiotu, który miał dostęp do danych klientów m.in. po to, by kierować komunikaty i dopasowywać ofertę.

Jednocześnie to typ relacji, w którym:

  • bank może mieć świetną ochronę własnej infrastruktury,
  • ale ryzyko przenosi się na dojrzałość bezpieczeństwa dostawcy i jego „perimeter” (firewall/VPN).

Analiza techniczna / szczegóły luki

Z dokumentów i doniesień wynika spójny łańcuch zdarzeń:

  1. Initial access przez SonicWall
    Marquis wskazał, iż nieuprawniona osoba uzyskała dostęp do sieci przez ich firewall SonicWall 14.08.2025 i mogła pozyskać wybrane pliki.
  2. Ransomware + komponent exfiltracyjny
    W komunikacji regulatorom opisano incydent jako ransomware attack. To istotne, bo nowoczesne kampanie ransomware często łączą szyfrowanie z kradzieżą danych (double extortion), co tłumaczy późniejsze powiadomienia banków i klientów.
  3. Zakres danych i model „data owner”
    W dokumentach podkreślano, iż Marquis występuje „w imieniu” klientów biznesowych (banków/credit unions) będących właścicielami danych. Potencjalnie objęte dane to m.in.:
  • identyfikatory osobowe i kontaktowe (imię, adres, telefon),
  • identyfikatory podatkowe,
  • SSN,
  • daty urodzenia,
  • pewne informacje o rachunkach bez kodów dostępu.
  1. Brak publicznego przypisania sprawcy
    Nie ma potwierdzonej grupy, która publicznie wzięłaby odpowiedzialność; Check Point Research wskazywał, iż Akira mogła być potencjalnie powiązana z podobnymi nadużyciami dotyczących SonicWall, ale jest to ostrożna atrybucja („possibly”).

Praktyczne konsekwencje / ryzyko

Dla banków i unii kredytowych

  • Ryzyko tożsamościowe klientów: SSN/TIN + dane kontaktowe i daty urodzenia to zestaw, który sprzyja fraudom i przejęciom kont (także poza bankowością).
  • Koszty powiadomień i usług ochronnych: w materiałach pojawia się oferowanie monitoringu/ochrony tożsamości (np. modele „complimentary monitoring”).
  • Ryzyko regulacyjne i reputacyjne: choćby jeżeli systemy banku nie zostały naruszone, klienci postrzegają incydent jako „wyciek z banku”.

Dla klientów

  • spear-phishing pod konkretny bank (atakujący zna instytucję, czasem segment klientów),
  • próby wyłudzeń kredytowych/pożyczkowych,
  • podszywanie się w procesach KYC.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań, które realnie „domykają” klasę ryzyka widoczną w tym incydencie.

Dla instytucji finansowych (zarządzanie dostawcami)

  1. Inwentaryzacja danych u dostawców (data mapping)
    Które systemy, jakie eksporty, jaki zakres PII, jak długo przechowywane? (Szczególnie dla vendorów od marketingu/komunikacji).
  2. Minimalizacja danych i ograniczenia retencji
    Jeśli do kampanii marketingowej wystarczy segment i kanał kontaktu – nie wysyłaj pełnych identyfikatorów.
  3. Wymuszenie wymagań bezpieczeństwa w umowie (i ich audytowalność)
    • patch management na urządzeniach brzegowych,
    • MFA/conditional access do paneli i VPN,
    • EDR + centralne logowanie,
    • segmentacja sieci i separacja środowisk klientów.
  4. Plan na „vendor breach”
    Gotowe szablony komunikacji i procedury „kto, kiedy, jak” (regulator, klienci, call center, FAQ).

Dla dostawców technologii/usług (hardening perimeter)

  • Priorytet dla urządzeń brzegowych (firewall/VPN): szybkie łatki, ograniczenie ekspozycji, monitoring logów i anomalii. (W tym przypadku wprost wskazano SonicWall jako punkt wejścia).
  • Segmentacja i zasada najmniejszych uprawnień dla repozytoriów z danymi klientów.
  • DLP i kontrola exfiltracji (proxy, egress filtering, alerty na nietypowe transfery).

Dla klientów końcowych (jeśli dostali powiadomienie)

  • Włącz monitoring kredytowy/ochronę tożsamości, jeżeli jest oferowana.
  • Ustaw alerty transakcyjne w banku, rozważ zamrożenie kredytu (credit freeze) i uważaj na „pilne” telefony/SMS-y o rzekomym incydencie.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ten incydent dobrze pokazuje różnicę między:

  • włamaniem do banku (zwykle szybciej widać nadużycia kont, ryzyko operacyjne jest natychmiastowe),
  • a włamaniem do dostawcy (często opóźnione wykrycie wpływu, długi „ogon” powiadomień, trudniejsza ocena skali).

W praktyce „vendor breach” bywa bardziej destrukcyjny reputacyjnie, bo dotyka wielu instytucji naraz i tworzy efekt domina (jedna luka → dziesiątki banków).

Podsumowanie / najważniejsze wnioski

  • Atak ransomware na Marquis Software to klasyczny przykład ryzyka łańcucha dostaw w finansach: pojedynczy dostawca przetwarzający dane klientów staje się wspólnym punktem awarii.
  • Wektor wejścia (SonicWall) przypomina, iż perimeter przez cały czas bywa najsłabszym ogniwem – zwłaszcza gdy łatki i kontrola dostępu nie są bezwzględnie egzekwowane.
  • Nawet gdy banki podkreślają, iż ich systemy nie zostały naruszone, konsekwencje (powiadomienia, monitoring, ryzyko fraudów) są bardzo realne.

Źródła / bibliografia

  1. The Record (Recorded Future News): informacje o VeraBank i Artisans’ Bank oraz kontekście incydentu Marquis. (The Record from Recorded Future)
  2. Reuters: podsumowanie incydentu i opis wektora (SonicWall) na bazie zgłoszeń do regulatora. (Reuters)
  3. Washington State Office of the Attorney General – dokument (PDF) z opisem incydentu, zakresem danych i harmonogramem powiadomień.
  4. California DOJ (OAG) – wpis o próbce zgłoszenia incydentu (Marquis jako podmiot składający). (California Attorney General)
  5. Check Point Research – wzmianka w raporcie threat intelligence (kontekst i ostrożna atrybucja). (Check Point Research)
Idź do oryginalnego materiału
  1. Strona główna
  2. Ransomware
  3. Atak ransomware na Marquis Software: jak incydent dostawcy uderzył w banki i klientów (przypadek VeraBank i Artisans’ Bank)