Ảnh minh họa. CPO Magazine

Dữ liệu khách hàng của ít nhất 74 ngân hàng, quỹ tín dụng bị chiếm đoạt

Công ty tiếp thị kỹ thuật số và vật lý có trụ sở tại Texas đã thông báo về cuộc tấn công mạng bằng mã độc tống tiền sau khi phát hiện các dấu hiệu bất thường trong hệ thống ngày 14/8/2025. Sự cố xảy ra sau khi tin tặc khai thác lỗ hổng trên tường lửa SonicWall để xâm nhập hệ thống, trích xuất nhiều tệp dữ liệu chứa thông tin tài chính và định danh nhạy cảm. Marquis lập tức mở cuộc điều tra nội bộ và báo cho cơ quan chức năng.

Marquis Software Solutions là công ty có trụ sở tại Texas, chuyên cung cấp phần mềm phân tích dữ liệu, giải pháp tiếp thị số và dịch vụ quản lý thông tin khách hàng cho hệ thống ngân hàng - quỹ tín dụng tại Mỹ. Với vai trò trung gian xử lý dữ liệu người dùng cho hơn 700 tổ chức tài chính, công ty nắm giữ lượng lớn thông tin cá nhân nhạy cảm.

Công ty fintech Marquis đang gửi thông báo đến hàng loạt ngân hàng và quỹ tín dụng sau khi bị tấn công ransomware, khiến dữ liệu khách hàng của các tổ chức này bị rò rỉ.

Sau khi xâm nhập, nhóm tấn công đã trích xuất một số tệp dữ liệu thuộc khách hàng doanh nghiệp của Marquis. Các tệp này chứa thông tin cá nhân nhạy cảm, như: họ tên; ngày sinh và nơi sinh; địa chỉ cư trú, mã số thuế (TIN); số An sinh xã hội (SSN); số tài khoản ngân hàng, thẻ ghi nợ và thẻ tín dụng

Các báo cáo gửi cơ quan quản lý tại nhiều bang (gồm Maine, Texas, Iowa, Massachusetts, New Hampshire…) cho biết hơn 400.000 khách hàng đã bị ảnh hưởng. Marquis hiện phục vụ hơn 700 ngân hàng và quỹ tín dụng, trong đó 74 đơn vị xác nhận bị ảnh hưởng trực tiếp. Con số nạn nhân dự kiến còn tăng khi điều tra tiếp tục mở rộng.

Từ 27/10 đến 25/11/2025, công ty bắt đầu gửi thông báo cho các tổ chức liên quan và phối hợp họ cảnh báo người dùng. Một số đơn vị công bố số lượng nạn nhân bị ảnh hưởng bởi cuộc tấn công:

Ngân hàng Tiết kiệm Na Uy đã thông báo cho 51.000 nạn nhân, trong khi Liên minh Tín dụng CoVantage của New Hampshire đã cảnh báo 160.000 cá nhân bị ảnh hưởng.

Một số thông báo về vi phạm dữ liệu cũng đã được đệ trình tại Iowa , Texas, Massachusetts và New Hampshire. Texas có số nạn nhân bị vi phạm dữ liệu nhiều nhất, với 354.000 người, trong khi Maine có 42.784 người.

Liên minh tín dụng bang Maine lại chiếm số lượng nạn nhân bị rò rỉ dữ liệu nhiều nhất trên toàn bang, với 38.334 khách hàng, tức là cứ chín người bị ảnh hưởng thì có một người là thành viên của liên minh này.

Marquis khẳng định hiện chưa ghi nhận việc dữ liệu bị phát tán hay bị lạm dụng.

Xuất hiện nghi vấn công ty đã trả tiền chuộc

Marquis không tiết lộ liệu có đàm phán hay trả tiền chuộc để ngăn tin tặc công bố dữ liệu hay không. Tuy nhiên, báo cáo từ quỹ tín dụng phi lợi nhuận Community 1st Credit Union thuộc bang Iowa cho biết: “Marquis đã trả tiền ransomware ngay sau ngày 14/8/2025.”

Hiện không có nhóm tội phạm mạng nào đứng ra nhận trách nhiệm, điều này càng làm dấy lên nghi vấn công ty đã nộp khoản tiền “bịt miệng” sau vụ tấn công. Công ty cũng cho biết đang cung cấp dịch vụ giám sát tín dụng và bảo vệ danh tính miễn phí cho những cá nhân bị ảnh hưởng.

Nhóm tin tặc Akira có thể đứng sau vụ tấn công?

Dù chưa có kết luận chính thức, các chuyên gia an ninh mạng nghiêng về khả năng vụ việc liên quan đến nhóm ransomware Akira, nhóm tin tặc nói tiếng Nga, từng khai thác mạnh lỗ hổng SonicWall.

SonicWall là thiết bị tường lửa dùng để bảo vệ mạng doanh nghiệp, kiểm soát lưu lượng và cung cấp kết nối VPN cho nhân viên từ xa. Khi lỗ hổng xuất hiện trên SonicWall, tin tặc có thể lợi dụng để xâm nhập vào hệ thống nội bộ.

Từ năm 2024, nhóm này đã tận dụng lỗ hổng CVE-2024-40766 để đánh cắp thông tin đăng nhập VPN và mã OTP, vượt qua cơ chế MFA. Từ giữa tháng 7/2025, nhiều vụ tấn công vào thiết bị SonicWall thế hệ 7 có SSLVPN bật đã được ghi nhận, khiến hãng phải cảnh báo khách hàng vô hiệu hóa chức năng này hoặc cập nhật bản vá.

Theo Arctic Wolf, khoảng thời gian ngắn giữa xâm nhập tường lửa SonicWall và triển khai mã độc mã hóa dữ liệu cho thấy có thể tồn tại lỗ hổng zero-day chưa được công bố.

Marquis đến nay vẫn chưa tiết lộ chính xác tính năng nào trên SonicWall bị khai thác, khiến việc truy vết và xác định nhóm tấn công gặp nhiều khó khăn.

An Lâm (Theo CPO Magazine)