Source: ctrlaltnod.com — Contexte: analyse publiée le 29 janvier 2026 détaillant l’enchaînement entre une compromission du cloud MySonicWall (sept. 2025) et une attaque par ransomware contre Marquis Software Solutions (août 2025), avec impacts sectoriels aux États‑Unis.
• Événement clé: des acteurs étatiques ont accédé au service cloud MySonicWall via des appels API, exfiltrant des sauvegardes de configurations de pare-feu. SonicWall a d’abord annoncé un impact « < 5% » avant de confirmer que tous les clients du service de sauvegarde cloud étaient touchés.
• Conséquence majeure: le 14 août 2025, Marquis Software Solutions a subi une attaque par ransomware ayant affecté 74+ banques et credit unions américaines et exposé les données de 400 000+ individus (numéros de Sécurité sociale, TIN, détails de comptes financiers, identifiants personnels). Marquis attribue l’intrusion au contournement des défenses de pare-feu rendu possible par les configurations SonicWall volées. La vulnérabilité CVE-2024-40766 (bypass d’authentification SSLVPN) a été évoquée mais n’a pas été le vecteur principal.
• Chronologie vérifiée (extraits):
- 14 août 2025: détection et confirmation du ransomware chez Marquis, lancement d’enquête.
- 17 sept. 2025: SonicWall divulgue un accès non autorisé aux sauvegardes cloud (impact initial « <5% »).
- 9 oct. 2025: mise à jour — tous les clients du cloud backup affectés.
- 5 nov. 2025: SonicWall attribue la brèche à des hackers étatiques via API.
- 3 déc. 2025: notifications de Marquis aux banques/crédits unions.
- 29 janv. 2026: attribution publique par Marquis à l’exploitation des données de configuration volées.
• Zones confirmées vs. incertitudes: Confirmés — brèche MySonicWall par acteurs étatiques, exfiltration de sauvegardes de configuration via API, ransomware chez Marquis, 74+ institutions touchées, 400 000+ personnes impactées, CVE-2024-40766 non utilisé comme vecteur principal. Non confirmés — identité du groupe, famille du ransomware, méthode exacte de contournement, lien d’attribution unique entre les deux intrusions, périmètre complet d’autres victimes, cadence exacte entre vol et attaque.
• Détection/Atténuation mentionnées: surveillance des changements de configuration de pare-feu, analyse de trafic anormal, revue des logs d’authentification (VPN/admin), monitoring d’activité API et EDR pour mouvements latéraux. Mesures proposées: réinitialisation d’identifiants/jetons, audit des règles et VPN, MFA sur interfaces admin/VPN/portails cloud, segmentation réseau, évaluation des services cloud tiers, patching (dont SonicWall et CVE-2024-40766), renforcement du monitoring, et plan de réponse pour risques de chaîne d’approvisionnement.
• IOCs et TTPs:
- IOCs: aucun indicateur spécifique publié.
- TTPs: exfiltration via API de sauvegardes de configuration; contournement des pare-feu basé sur la connaissance des règles/topologie; déploiement de ransomware; possibles mouvements latéraux et authentifications réussies via informations issues des configs.
Type d’article et objectif: rapport d’incident synthétisant faits, chronologie, impacts et recommandations autour d’une compromission de chaîne d’approvisionnement 🧩.
🔗 Source originale : https://www.ctrlaltnod.com/news/sonicwall-breach-enabled-ransomware-attack-on-74-us-banks/