Atak ransomware na Marquis Software: kolejne banki ujawniają wyciek danych klientów

Wprowadzenie do problemu / definicja luki

Incydenty „supply chain” i „third-party breach” coraz częściej uderzają w sektor finansowy nie przez bezpośrednie włamanie do banku, ale przez dostawcę usług, który przetwarza dane klientów w imieniu instytucji. Dokładnie taki scenariusz rozgrywa się w sprawie Marquis Software (fintech/dostawca usług marketingowo-analitycznych i compliance dla banków oraz credit unions w USA), gdzie atak ransomware z sierpnia 2025 r. przełożył się na kolejne ujawnienia wycieków po stronie banków – już jako „downstream victims”.

W skrócie

• Dwa kolejne banki – Artisans’ Bank i VeraBank – poinformowały o skutkach incydentu u dostawcy Marquis Software.
• Atak wykryto 14 sierpnia 2025 r.; według ustaleń doszło do nieautoryzowanego dostępu do plików zawierających dane klientów instytucji finansowych.
• Wątek techniczny prowadzi do urządzenia SonicWall i podatności powiązanych z CVE-2024-40766, która była traktowana jako realnie wykorzystywana w atakach (m.in. wpisy CISA/KEV i komunikaty SonicWall o aktywności SSLVPN).
• Skala (wg zestawień z zawiadomień do urzędów stanowych) sięga ~788 tys. osób dotkniętych naruszeniem u Marquis.

Kontekst / historia / powiązania

Z perspektywy banków najważniejsze jest to, iż dostawca (Marquis) pełni rolę „procesora danych” dla wielu instytucji, m.in. w obszarze komunikacji z klientami oraz analizy danych i dopasowania produktów. VeraBank wprost wskazywał Marquis jako dostawcę „customer communication and data analysis vendor”.

W grudniu 2025 r. pojawiła się kolejna fala notyfikacji – tym razem od samych banków. The Record opisał m.in.:

• VeraBank: łączna liczba osób z ujawnionymi danymi w tej sprawie to 37 318 (wg opisu w materiale).
• Artisans’ Bank: bank wskazał, iż dowiedział się o incydencie od Marquis w październiku 2025 r., a w jego przypadku chodzi m.in. o imiona i numery SSN (Social Security Numbers) 32 344 osób.

Co istotne komunikacyjnie (i prawnie): oba banki podkreślały, iż ich własne systemy nie zostały zhakowane, a problem dotyczy danych „utrzymywanych przez Marquis”.

Analiza techniczna / szczegóły luki

1) Punkt wejścia: SonicWall i „znana” podatność

Reuters i inne źródła opisują, iż intruz wykorzystał podatność w zaporze SonicWall 14 sierpnia 2025 r., uzyskując możliwość dostępu do wybranych plików w środowisku Marquis.

W ekosystemie SonicWall szeroko przywoływana jest podatność CVE-2024-40766:

• CISA dodała ją do katalogu Known Exploited Vulnerabilities (KEV) już 9 września 2024 r., co jest mocnym sygnałem, iż podatność była wykorzystywana „in the wild” i powinna być traktowana priorytetowo w patchingu.
• SonicWall w komunikacie o aktywności SSLVPN (aktualizacje z sierpnia 2025) wskazywał korelację obserwowanych incydentów z aktywnością powiązaną z CVE-2024-40766 oraz rekomendował m.in. aktualizacje i reset haseł (zwłaszcza po migracjach Gen6→Gen7).

2) Co mogło zostać pozyskane

Zakres danych, które mogły zostać przejęte w wyniku dostępu do plików Marquis, obejmuje typowe atrybuty do kradzieży tożsamości i nadużyć finansowych: imię i nazwisko, adres, telefon, data urodzenia, SSN/TIN, a także wybrane informacje o rachunkach (w tym bez „security/access codes”).

3) Czas wykrycia i „długi ogon” notyfikacji

SecurityWeek wskazuje, iż incydent wykryto 14 sierpnia 2025 r., a analiza dot. skradzionych danych trwała do końca października, po czym ruszyły formalne notyfikacje do osób i urzędów stanowych.
To klasyczny wzorzec: techniczny „blast radius” bywa jasny szybko, ale ustalenie dokładnej listy danych i podmiotów (kto, z jakiego banku, jaki zakres pól) potrafi zająć tygodnie.

Praktyczne konsekwencje / ryzyko

Dla klientów banków tego typu incydent jest groźny nie tylko ze względu na sam wyciek, ale ze względu na jakość danych (identyfikatory + dane kontaktowe), które:

• ułatwiają phishing i vishing „pod bank” (oszust ma wystarczająco dużo atrybutów, by brzmieć wiarygodnie),
• zwiększają ryzyko przejęcia kont (zwłaszcza gdy atakujący łączy wyciek z danymi z innych naruszeń),
• otwierają drogę do kradzieży tożsamości (SSN/TIN + data urodzenia + adres).

Dla banków to także ryzyko:

• regulacyjne (obowiązki notyfikacyjne, nadzór),
• reputacyjne (klient widzi „to bank wyciekł”, choćby jeżeli to vendor),
• operacyjne (koszty monitoringu kredytowego, call center, obsługi incydentu).

Rekomendacje operacyjne / co zrobić teraz

Dla banków i instytucji finansowych (IT/Sec/Compliance)

1. Natychmiastowa rewizja ryzyka dostawców: gdzie Marquis (lub podobni) ma dostęp do danych, w jakiej formie, na jak długo są przechowywane.
2. Minimalizacja danych: przekazuj vendorowi tylko pola absolutnie niezbędne (data minimization), rozdzielaj zbiory (segmentacja).
3. Wymogi techniczne w umowach: szyfrowanie „at rest”, logowanie dostępu, retencja danych, obowiązkowe MFA/SSO, audyty i SLA na zgłoszenie incydentu.
4. Twardy patch management po stronie perimeter/VPN: CVE na urządzeniach brzegowych to „ulubiona” ścieżka ransomware; traktuj wpisy CISA/KEV jako sygnał do priorytetu P0.
5. Weryfikacja SonicWall/SSLVPN: jeżeli w organizacji używane są rozwiązania SonicWall, zastosuj zalecenia producenta dotyczące aktualizacji, resetów haseł po migracjach i dodatkowych zabezpieczeń (np. rekomendacje w komunikacie o aktywności SSLVPN).

Dla klientów (co realnie ma sens)

• Włącz alerty transakcyjne i monitoruj wyciągi.
• Zachowaj podwyższoną czujność na telefony/SMS-y „z banku” – zwłaszcza gdy rozmówca zna Twoje dane.
• Rozważ zamrożenie/monitoring kredytowy (w USA jest to częsta rekomendacja w tego typu notyfikacjach; część podmiotów oferuje go w pakiecie).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ten incydent jest podręcznikowym przykładem różnicy między:

• breachem „w banku” (atak na core banking / kanały zdalne), a
• breachem „u dostawcy” (vendor/supply chain), gdzie bank bywa „poszkodowanym pośrednio”, ale to on musi obsłużyć klienta i reputację.

W praktyce oznacza to, iż same inwestycje w bezpieczeństwo banku nie wystarczą, jeżeli łańcuch dostaw danych (outsourcing komunikacji, marketingu, analityki) nie ma równie wysokich standardów.

Podsumowanie / najważniejsze wnioski

• Atak ransomware na Marquis z 14 sierpnia 2025 r. przez cały czas generuje skutki: kolejne banki ujawniają naruszenia klientów jako efekt incydentu u dostawcy.
• Wektor wejścia wiąże się z SonicWall i ryzykiem związanym z podatnościami urządzeń brzegowych (kontekst CVE-2024-40766 + zalecenia CISA i SonicWall).
• Skala jest znacząca: według zestawień z notyfikacji do urzędów stanowych mowa o ~788 tys. osób.
• Najważniejsza lekcja dla sektora finansowego: zarządzanie ryzykiem dostawców musi być równie „produkcyjne” jak ochrona własnej infrastruktury.

Źródła / bibliografia

1. The Record (Recorded Future News) – opis notyfikacji VeraBank i Artisans’ Bank oraz kontekst incydentu Marquis. (The Record from Recorded Future)
2. Reuters – informacje o wektorze (SonicWall), dacie incydentu i typach danych. (Reuters)
3. SecurityWeek – szacunki skali (~788 tys.), harmonogram dochodzenia i notyfikacji. (SecurityWeek)
4. SonicWall – komunikat dot. aktywności SSLVPN i korelacji z CVE-2024-40766, zalecenia mitigacyjne. (SonicWall)
5. CISA – alert o dodaniu CVE-2024-40766 do Known Exploited Vulnerabilities Catalog. (CISA)