Security

Marquis Salahkan Peretasan Cloud Backup SonicWall atas Insiden Ransomware

2 days ago
2 minutes read

Perusahaan layanan keuangan asal Texas, Marquis Software Solutions, menyalahkan insiden peretasan cloud backup milik SonicWall sebagai penyebab utama serangan ransomware yang melumpuhkan sistemnya pada Agustus 2025 dan berdampak pada puluhan bank serta credit union di Amerika Serikat.

Sebelumnya, insiden ini diduga terjadi akibat eksploitasi firewall SonicWall yang belum ditambal. Namun, dalam pernyataan terbaru kepada para pelanggan—yang dilihat oleh BleepingComputer—Marquis mengungkapkan hasil investigasi pihak ketiga yang menunjukkan skenario berbeda.

Konfigurasi Firewall Bocor Lewat MySonicWall

Menurut Marquis, pelaku ransomware tidak langsung mengeksploitasi firewall, melainkan memanfaatkan data konfigurasi firewall yang dicuri dari portal MySonicWall setelah terjadi akses tidak sah ke layanan cloud backup SonicWall.

“Berdasarkan investigasi pihak ketiga yang sedang berlangsung, kami menemukan bahwa pelaku ancaman mampu melewati firewall Marquis dengan memanfaatkan data konfigurasi yang diekstrak dari pelanggaran cloud backup milik penyedia layanan,” ujar Marquis dalam pernyataannya.

Marquis juga menyebutkan sedang mengevaluasi opsi hukum dan finansial terhadap penyedia firewall tersebut, termasuk kemungkinan menuntut penggantian biaya yang timbul akibat penanganan insiden oleh Marquis dan para pelanggannya.

Kronologi Insiden SonicWall

SonicWall pertama kali mengungkap insiden keamanan pada 17 September 2025, dengan menyatakan bahwa sekitar 5% pelanggan firewall yang menggunakan layanan cloud backup terdampak. Pelanggan diminta mereset kredensial MySonicWall karena ada risiko kebocoran token dan data autentikasi.

Namun, sekitar tiga minggu kemudian, SonicWall merevisi pernyataannya dan mengonfirmasi bahwa seluruh pelanggan cloud backup sebenarnya terdampak. Sebulan setelah itu, hasil investigasi Mandiant menemukan indikasi keterlibatan aktor negara (state-sponsored) dalam serangan tersebut.

SonicWall menegaskan bahwa pelanggaran MySonicWall tidak berkaitan dengan rangkaian serangan ransomware Akira yang menargetkan akun SonicWall VPN dengan MFA pada akhir September 2025.

Kampanye Kredensial Curian

Terpisah dari kasus MySonicWall, perusahaan keamanan Huntress melaporkan pada 13 Oktober 2025 adanya kampanye besar yang berhasil mengompromikan lebih dari 100 akun SonicWall SSLVPN menggunakan kredensial valid yang dicuri. Meski demikian, Huntress menyatakan tidak menemukan bukti langsung yang mengaitkan kampanye tersebut dengan insiden cloud backup SonicWall.

Hingga kini, SonicWall belum memberikan tanggapan resmi terbaru atas klaim Marquis meskipun telah dihubungi kembali oleh BleepingComputer.

Dampak Lebih Luas

Kasus ini menyoroti risiko supply chain security di sektor keamanan jaringan. Kebocoran file konfigurasi firewall—meski tidak mengeksploitasi celah perangkat lunak secara langsung—dapat memberi penyerang peta lengkap pertahanan jaringan, sehingga memungkinkan mereka melewati kontrol keamanan yang seharusnya kuat.

Bagi institusi keuangan yang mengandalkan vendor pihak ketiga, insiden ini menjadi pengingat pentingnya:

  • Audit keamanan vendor secara berkala
  • Pembatasan akses dan enkripsi kuat pada backup konfigurasi
  • Rotasi kredensial dan token pascainsiden
Tags
2 days ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button