AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ransomware en Marquis Software Solutions expone a decenas de bancos por brecha en SonicWall

admin

Introducción

En agosto de 2025, Marquis Software Solutions, un proveedor estadounidense de servicios financieros con sede en Texas, sufrió un severo ataque de ransomware que acabó comprometiendo información sensible de decenas de bancos y cooperativas de crédito en Estados Unidos. La compañía atribuye el incidente a una vulnerabilidad crítica en los sistemas de SonicWall, reportada oficialmente solo un mes después del ataque. Este suceso ha puesto de manifiesto los riesgos inherentes a la cadena de suministro y la dependencia de soluciones de terceros en el sector financiero, así como la velocidad con la que los actores de amenazas pueden aprovechar brechas zero-day.

Contexto del Incidente o Vulnerabilidad

Marquis Software Solutions ofrece soluciones de análisis de datos, marketing y cumplimiento normativo a entidades financieras en Norteamérica. El pasado agosto, la compañía detectó actividad anómala en su red interna. Pese a los intentos de contención, los atacantes desplegaron un ransomware que cifró servidores críticos y exfiltró datos de clientes, afectando a decenas de bancos y cooperativas de crédito.

En septiembre de 2025, SonicWall notificó una vulnerabilidad de alta criticidad en uno de sus productos de seguridad perimetral (firewall/UTM). Marquis señala que el incidente de ransomware se apoyó en la explotación de dicha vulnerabilidad, evidenciando un gap temporal peligroso entre el compromiso y la publicación del CVE por parte de SonicWall.

Detalles Técnicos

La vulnerabilidad explotada corresponde al identificador CVE-2025-28641, catalogada con un CVSS de 9,8 (crítica) y afecta a SonicWall Secure Mobile Access (SMA) versiones 10.x y 9.x. El vector de ataque es remoto y no requiere autenticación previa, permitiendo la ejecución arbitraria de código. Los atacantes usaron técnicas de inicialización de acceso (MITRE ATT&CK T1190 – Exploit Public-Facing Application) para obtener un punto de apoyo inicial y pivotar lateralmente en la red interna.

Se han identificado indicadores de compromiso (IoC) como direcciones IP de origen en Europa del Este, hashes SHA256 de payloads utilizados en la explotación y patrones de tráfico anómalo asociados a herramientas como Cobalt Strike y Metasploit Framework. La fase de cifrado del ransomware se realizó mediante una variante personalizada basada en LockBit 3.0, compatible con doble extorsión (exfiltración y cifrado).

El exploit utilizado se hizo público días después en repositorios de GitHub y foros clandestinos, agravando el riesgo para otras organizaciones que aún no habían parcheado sus sistemas.

Impacto y Riesgos

La brecha impactó a más de 60 entidades financieras clientes de Marquis, con exposición de datos personales, financieros y de cumplimiento regulatorio de miles de usuarios finales. El incidente ha supuesto la indisponibilidad de servicios críticos durante más de 72 horas y la posibilidad de filtraciones masivas en la dark web.

A nivel económico, el coste estimado supera los 25 millones de dólares, incluyendo rescate, servicios forenses, multas regulatorias y daños reputacionales. La afectación a infraestructuras críticas en el sector financiero incrementa el riesgo sistémico, con posible incumplimiento de normativas como GLBA, PCI DSS, GDPR (para clientes europeos) y NIS2.

Medidas de Mitigación y Recomendaciones

SonicWall ha publicado actualizaciones de seguridad y guías de hardening para todas las versiones afectadas. Se recomienda la actualización inmediata a la versión 10.2.1.7 o superior, la segmentación de redes, la aplicación de MFA y la monitorización continua de logs y eventos.

Los equipos SOC deben desplegar reglas YARA y detecciones en EDR/EDR basadas en los IoC publicados. Se aconseja la revisión de accesos privilegiados, la desactivación de servicios innecesarios y la realización de simulaciones de ataque (red teaming) para evaluar la resiliencia de la red.

Opinión de Expertos

Especialistas de SANS Institute y Mandiant coinciden en que los ataques supply chain y la explotación de vulnerabilidades zero-day en soluciones de seguridad perimetral se están incrementando rápidamente. Según el último informe de Verizon DBIR 2025, el 32% de los incidentes de ransomware en el sector financiero involucran la explotación de terceros proveedores.

Expertos en cumplimiento normativo advierten de la obligación de notificar a las autoridades competentes (FFIEC, autoridades estatales y federales, y en Europa, el DPO bajo GDPR) en menos de 72 horas tras la detección de la brecha, bajo riesgo de sanciones que pueden alcanzar el 4% de la facturación anual global.

Implicaciones para Empresas y Usuarios

El incidente subraya la importancia de auditar de manera continua la seguridad de proveedores y subcontratistas, así como de exigir pruebas de cumplimiento y SLA de respuesta ante incidentes. Para los bancos y cooperativas afectados, la exposición de datos personales puede derivar en fraudes, suplantación de identidad y litigios legales.

A nivel usuario, es crítico sensibilizar sobre el riesgo de campañas de phishing derivadas de la fuga de información y la necesidad de cambiar contraseñas y activar la autenticación multifactor en todos los servicios bancarios.

Conclusiones

El ataque a Marquis Software Solutions, facilitado por una brecha zero-day en SonicWall, evidencia los riesgos sistémicos de la cadena de suministro en el sector financiero y la necesidad de una estrategia de ciberresiliencia proactiva. El gap temporal entre explotación y divulgación pública de la vulnerabilidad ha sido determinante en el alcance del incidente. La coordinación entre proveedores, clientes y reguladores es fundamental para minimizar el impacto de futuras amenazas.

(Fuente: www.bleepingcomputer.com)