文章总结： Marquis证实其勒索软件攻击源于SonicWall云备份泄露，攻击者利用窃取的配置数据绕过防御，波及数百家金融机构。SonicWall确认事件影响扩大并涉国家级黑客。建议相关方重置凭证并审查云备份权限。 综合评分： 76 文章分类： 数据泄露,供应链安全,恶意软件,安全大事件,漏洞预警

Marquis 将勒索软件攻击归咎于 SonicWall 云备份黑客攻击

原创

Sergiu Gatlan Sergiu Gatlan

暗镜

2026年1月31日 11:00 北京

总部位于德克萨斯州的金融服务提供商 Marquis Software Solutions 将 2025 年 8 月影响其系统并波及数十家美国银行和信用社的勒索软件攻击归咎于 SonicWall 一个月后报告的安全漏洞。

这家软件公司为全美 700 多家银行、信用社和抵押贷款机构提供数据分析、合规报告、CRM 工具和数字营销服务。

据 BleepingComputer 报道，Marquis 在本周早些时候向客户发表的声明中表示，勒索软件运营者并没有像之前认为的那样，通过利用未打补丁的 SonicWall 防火墙入侵其系统。

相反，攻击者利用从防火墙配置备份文件中获取的信息，这些文件是在未经授权访问 SonicWall 的 MySonicWall 在线客户门户后窃取的。

“根据正在进行的第三方调查，我们已经确定，攻击 Marquis 的威胁行为者能够利用从服务提供商云备份泄露事件中提取的配置数据绕过我们的防火墙，”Marquis 表示。

“目前，Marquis 正在评估其与防火墙提供商相关的各种选择，包括寻求收回 Marquis 及其客户为应对此次数据泄露事件而产生的任何费用。”

SonicWall 于 9 月 17 日披露了 Marquis 提到的安全漏洞，当时该公司警告客户重置其 MySonicWall 帐户凭据，并表示该事件仅影响了使用其云备份服务的防火墙客户中的约 5%。

该公司还警告称，攻击者可以窃取访问凭证和令牌，从而“大大降低”入侵受影响客户防火墙的几率。然而，大约三周后，SonicWall发布更新，确认所有使用其云备份服务的客户都受到了9月份数据泄露事件的影响。

一个月后，该公司发布了另一份更新声明，称 Mandiant 对 9 月份的攻击事件进行了调查，发现了将该事件与国家支持的黑客联系起来的证据。

SonicWall补充说，MySonicWall漏洞与Akira勒索软件团伙在9月下旬针对受MFA保护的SonicWall VPN帐户发起的攻击无关。

网络安全公司Huntress于10月13日发布报告称，他们观察到攻击者利用窃取的有效凭证，在大规模攻击活动中入侵了超过100个SonicWall SSLVPN账户。然而，Huntress并未发现任何证据表明这些攻击与SonicWall云备份漏洞有关，而SonicWall当时也未回应BleepingComputer的置评请求。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 Sergiu Gatlan Sergiu Gatlan《Marquis 将勒索软件攻击归咎于 SonicWall 云备份黑客攻击》