Ransomware-támadás a SonicWall tűzfalon keresztül
2025. augusztus 14-én a SonicWall tűzfal egy sebezhetőségét kihasználva törtek be a Marquis rendszerébe. Az elkövetők így hozzáfértek a cég hálózatához, majd több, érzékeny adatokat tartalmazó fájlt is elloptak. Konkrétabban: név, cím, telefonszám, társadalombiztosítási szám, adóazonosító, pénzügyi számlák adatai (biztonsági kódok nélkül) és születési dátumok kerültek illetéktelen kezekbe, csak Maine államban közel 400 000 ügyfél adata érintett.
Amerika-szerte érintett bankok és ügyfelek
Összesen 74 bank és hitelszövetkezet vált a támadók célpontjává, köztük olyan ismert pénzintézetek, mint az Abbott Laboratories Employees Credit Union, a BayFirst National Bank, az Educators Credit Union vagy a Suncoast Credit Union. A lista csaknem a teljes amerikai pénzintézeti szektort lefedi, államonként több ezer ügyfélszámlát, valamint különféle intézményi adatbázisokat is veszélyeztetve.
Fizetett a Marquis a támadóknak?
Fontos körülmény, hogy a háttérben más is zajlott: bizonyos értesülések szerint a Marquis váltságdíjat fizetett, hogy megakadályozza az ellopott személyes adatok kiszivárogtatását vagy eladását. Az egyik érintett hitelszövetkezet, a Community 1st Credit Union egy időközben törölt közleményében leírta: a zsarolási kísérlet közvetlenül az incidenst követte, később pedig megerősítették, hogy tagjaik adatai is érintettek voltak.
Erősített kiberbiztonság és új szabályok
A Marquis azt állítja, hogy nincs bizonyíték az adatokkal való visszaélésre vagy azok online közzétételére. Mégis, komoly biztonsági intézkedéseket vezetett be: naprakésszé tette minden tűzfalberendezését, rendszeresen cseréli a jelszavakat, törölte az inaktív fiókokat, kötelezővé tette a többlépcsős hitelesítést, szigorította a VPN-hozzáféréseket, kiterjesztette a naplózást, országszintű IP-korlátozást alkalmaz, illetve automatikusan blokkolja az ismert botnet-szerverekhez való kapcsolódásokat.
Folytatódó támadások a SonicWall ellen
Konkrétabban: a SonicWall tűzfalak gyenge pontjai nemcsak a Marquis-t teszik sérülékennyé. Az Akira néven ismert zsarolóvírus-csoport rendszeresen támadja az ilyen eszközöket, VPN-fiókokat tör fel, majd ellopott bejelentkezési adatokkal újra és újra behatol. Sok intézmény nem változtatott a biztonsági beállításain még a hibajavítások után sem, így a támadók továbbra is gond nélkül hozzáférhetnek rendszereikhez, hónapokkal az első támadás után is.
Komoly figyelmeztetés minden pénzintézetnek
Ez az incidens rávilágít arra, hogy nem csupán közvetlenül a bankokat, hanem a kulcstechnológiai beszállítóikat is védeni kell. A kiberbűnözők egyre fejlettebb módszerekkel dolgoznak, így a pénzintézetek számára elengedhetetlen a naprakész védelem, a rendszeres jelszócsere és a dolgozók folyamatos oktatása – hiszen akár egyetlen feltört VPN-fiók is több százezer ügyfél adatait sodorhatja veszélybe.
