AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ciberataque con ransomware a Marquis expone datos de 670.000 personas y afecta a 74 bancos en EE. UU.

admin

Introducción

El sector financiero estadounidense ha sufrido un nuevo golpe tras la confirmación por parte de Marquis, proveedor de servicios financieros con sede en Texas, de una grave brecha de seguridad sufrida en agosto de 2023. El incidente, atribuido a un grupo de ransomware aún no identificado públicamente, ha resultado en la exfiltración de información sensible de más de 670.000 personas y la interrupción de operaciones en 74 bancos repartidos por todo el país. Este caso pone de relieve la creciente sofisticación de las amenazas dirigidas a la cadena de suministro en el sector financiero y la urgente necesidad de reforzar los mecanismos de protección y respuesta ante ciberataques.

Contexto del Incidente o Vulnerabilidad

El ataque salió a la luz tras una investigación interna desencadenada por la detección de actividad anómala en los sistemas de Marquis a mediados de agosto de 2023. La compañía, especializada en gestión de datos y soluciones de marketing para entidades bancarias y crediticias, confirmó que los actores de la amenaza lograron acceder a sistemas críticos, comprometiendo la información personal y financiera de clientes finales de los bancos a los que da servicio. La naturaleza del ataque y la magnitud de la información exfiltrada han motivado la notificación a las autoridades federales y la activación de los protocolos de respuesta a incidentes exigidos por la legislación estadounidense, incluyendo la notificación a los afectados conforme a la ley estatal y federal de protección de datos.

Detalles Técnicos

Según los resultados preliminares de la investigación, el vector de acceso inicial habría sido una credencial comprometida utilizada para acceder a una VPN corporativa cuya autenticación multifactor no estaba debidamente habilitada para todos los usuarios. Tras el acceso inicial, los atacantes desplegaron herramientas de reconocimiento como Cobalt Strike y utilizaron técnicas de movimiento lateral basadas en Remote Desktop Protocol (RDP) y PowerShell Remoting, siguiendo patrones recogidos en las tácticas T1078 (Valid Accounts), T1021.001 (Remote Services: RDP) y T1059.001 (Command and Scripting Interpreter: PowerShell) del marco MITRE ATT&CK.

El ransomware utilizado, aún sin atribución confirmada, mostró similitudes en su cifrado y notas de rescate con variantes como LockBit y BlackCat. El análisis forense ha identificado varios Indicadores de Compromiso (IoC), incluyendo hashes MD5 de ejecutables maliciosos, direcciones IP de servidores C2 en Europa del Este y artefactos de persistencia en el registro de Windows. Se sospecha que los atacantes explotaron la vulnerabilidad CVE-2023-34362, relacionada con MOVEit Transfer, aunque Marquis no ha confirmado públicamente la explotación específica de este fallo.

Impacto y Riesgos

El impacto del ataque es significativo tanto en el plano operacional como reputacional. Más de 670.000 registros personales, incluyendo nombres, direcciones, números de seguridad social y, en algunos casos, información sobre cuentas financieras, han sido comprometidos. La interrupción de los servicios de Marquis afectó directamente a 74 bancos, dificultando la tramitación de operaciones, el acceso a datos de clientes y la continuidad de servicios críticos durante varios días. A nivel económico, aunque no se ha hecho pública la cifra exigida como rescate, estudios recientes (IBM Cost of a Data Breach 2023) cifran el coste medio de una brecha en el sector financiero en 5,97 millones de dólares, sin contar las posibles multas regulatorias bajo la GDPR (si hubiera afectados europeos) o la reciente directiva NIS2, que incrementa los requisitos de ciberresiliencia para infraestructuras críticas.

Medidas de Mitigación y Recomendaciones

Marquis ha declarado que, tras el incidente, ha reforzado sus controles de acceso, implementando autenticación multifactor en todos los accesos remotos y revisando las políticas de gestión de privilegios. Se recomienda a todas las organizaciones del sector:
– Revisar y auditar los accesos remotos y credenciales privilegiadas.
– Aplicar parches a vulnerabilidades conocidas (especialmente CVE-2023-34362 y fallos en VPNs).
– Monitorizar IoCs asociados e integrar feeds de inteligencia de amenazas en los SIEM corporativos.
– Realizar simulacros de respuesta a incidentes tipo ransomware y revisar los planes de continuidad de negocio.
– Establecer canales seguros para la comunicación con proveedores y exigir el cumplimiento de estándares como ISO 27001 y NIST CSF.

Opinión de Expertos

Varios especialistas en ciberseguridad han advertido del aumento de ataques dirigidos a proveedores de servicios financieros como vector para comprometer múltiples instituciones simultáneamente. Según John Miller, Director de Inteligencia de Amenazas en Mandiant, “los ataques a la cadena de suministro ofrecen a los actores de ransomware una rentabilidad exponencial al explotar la confianza depositada en terceros”. Por su parte, María Fernández, CISO de una entidad bancaria española, señala que “este incidente subraya la importancia de auditar la postura de seguridad no solo propia, sino la de todos los socios tecnológicos”.

Implicaciones para Empresas y Usuarios

Para las entidades financieras, este incidente enfatiza la necesidad de aplicar un enfoque de “Zero Trust” y reforzar los procesos de due diligence en la selección y supervisión de proveedores externos. Los usuarios finales afectados podrían enfrentarse a un aumento de fraudes y campañas de phishing dirigidas, aprovechando los datos exfiltrados. Además, la notificación masiva podría provocar investigaciones regulatorias y sanciones, especialmente si se demuestra negligencia en la protección de datos personales.

Conclusiones

El ciberataque a Marquis representa uno de los incidentes más graves registrados recientemente en la cadena de suministro financiera estadounidense, con amplias repercusiones para bancos y clientes. La sofisticación de las técnicas empleadas y el elevado número de afectados obligan a revisar urgentemente los modelos de seguridad tradicionales y avanzar hacia una gestión integral del riesgo de terceros.

(Fuente: www.bleepingcomputer.com)