SonicWall

Source: Huntress — Début février 2026, Huntress a répondu à une intrusion où des identifiants SonicWall SSLVPN compromis ont servi d’accès initial, avant le déploiement d’un « EDR killer » exploitant la technique de Bring Your Own Vulnerable Driver (BYOVD) via un driver EnCase (EnPortv.sys) signé mais révoqué, afin de tuer des processus de sécurité depuis le noyau. L’attaque a été interrompue avant une phase probable de rançongiciel. La télémétrie SonicWall ingérée par Huntress Managed SIEM a permis de reconstituer la chronologie: une tentative de connexion portail refusée depuis 193.160.216[.]221 a précédé d’une minute une authentification VPN réussie depuis 69.10.60[.]250. Une reconnaissance réseau agressive a suivi (ICMP ping sweeps, requêtes NetBIOS, activité SMB avec rafales >370 SYN/s). La corrélation SIEM–endpoint a facilité la détection, l’isolement des systèmes et des recommandations de remédiation (activer MFA sur les accès distants, revoir les logs VPN). ...

Source: ctrlaltnod.com — Contexte: analyse publiée le 29 janvier 2026 détaillant l’enchaînement entre une compromission du cloud MySonicWall (sept. 2025) et une attaque par ransomware contre Marquis Software Solutions (août 2025), avec impacts sectoriels aux États‑Unis. • Événement clé: des acteurs étatiques ont accédé au service cloud MySonicWall via des appels API, exfiltrant des sauvegardes de configurations de pare-feu. SonicWall a d’abord annoncé un impact « < 5% » avant de confirmer que tous les clients du service de sauvegarde cloud étaient touchés. ...

Selon BankInfoSecurity (article de Mathew J. Schwartz, 31 décembre 2025), plusieurs établissements financiers américains notifient des fuites de données liées à une attaque de ransomware ayant ciblé le fournisseur Marquis Software Solutions, éditeur texan de logiciels de marketing et de conformité pour plus de 700 banques et credit unions. • Nature de l’incident: une attaque de ransomware le 14 août impliquant la compromission d’un pare-feu SonicWall de Marquis. Des enquêteurs externes mandatés par Marquis ont établi que l’attaquant a pu accéder à des fichiers stockés par Marquis pour le compte de ses clients professionnels et que l’incident serait limité à l’environnement de Marquis. Les données potentiellement exposées incluent: noms, adresses, numéros de téléphone, numéros de sécurité sociale (SSN), informations de compte financier sans codes d’accès, et dates de naissance. 🚨 ...

TechCrunch (Zack Whittaker) rapporte que la fintech texane Marquis, prestataire marketing et conformité pour plus de 700 banques et credit unions, notifie des dizaines d’établissements après une attaque de ransomware survenue le 14 août 2025, révélée via des avis de violation de données déposés auprès de plusieurs États américains. L’impact est significatif : au moins 400 000 personnes sont confirmées affectées d’après les dépôts légaux dans l’Iowa, le Maine, le Texas, le Massachusetts et le New Hampshire, avec au moins 354 000 résidents texans touchés. Les données volées incluent des noms, dates de naissance, adresses postales, ainsi que des informations financières (numéros de compte bancaire, de cartes de débit et de crédit) et des numéros de Sécurité sociale (SSN). Marquis indique que les clients de la Maine State Credit Union comptent pour une part notable des notifications dans le Maine. Le nombre de personnes affectées devrait augmenter à mesure que d’autres notifications seront publiées. 🔐 ...

Selon Huntress (blog), une compromission étendue de dispositifs SonicWall SSLVPN a touché plus de 100 comptes répartis sur 16 environnements clients, avec des connexions malveillantes observées à partir du 4 octobre. L’enquête met en évidence l’usage d’identifiants valides plutôt que du bruteforce, et une origine récurrente des connexions depuis l’adresse IP 202.155.8[.]73. 🚨 Sur le plan technique, les attaquants ont procédé à des authentifications rapides sur de multiples comptes, particulièrement entre les 4 et 6 octobre. Les sessions présentaient des comportements post-exploitation variables : certaines se déconnectaient rapidement, tandis que d’autres évoluaient vers du scan réseau et des tentatives d’accès à des comptes Windows locaux. ...

Source: Arctic Wolf — SonicWall a conclu son enquête sur l’exposition de fichiers de sauvegarde de configuration stockés dans les comptes MySonicWall, confirmant que tous les clients utilisant la sauvegarde cloud sont affectés. L’incident est critique car ces fichiers contiennent des identifiants sensibles historiquement exploités par des groupes étatiques et des rançongiciels. • Impact et nature de l’exposition: Les sauvegardes de configuration de pare-feu exposées incluent des informations sensibles telles que les paramètres d’utilisateurs/groupes/domaines, la configuration DNS, des certificats et des identifiants. Les acteurs malveillants peuvent viser ces données pour un accès non autorisé aux environnements protégés. 🚨 ...

Source et contexte: Arctic Wolf Labs publie une analyse approfondie d’une campagne toujours active (débutée fin juillet 2025) où le ransomware Akira cible des environnements équipés de pare-feux SonicWall via des connexions SSL VPN malveillantes, avec des temps de compromission et de chiffrement mesurés en heures. • Vecteur initial et vulnérabilités: Les intrusions débutent par des connexions SSL VPN provenant de VPS/ASNs d’hébergement, souvent suivies en minutes par du scan réseau et l’usage d’Impacket. Des comptes locaux et LDAP-synchronisés (y compris des comptes AD de synchro non censés se connecter en VPN) sont utilisés. Les acteurs valident des défis OTP/MFA sur SonicOS, bien que la méthode exacte de contournement reste non élucidée. SonicWall lie la campagne à CVE‑2024‑40766 (improper access control) et évoque la possibilité d’identifiants dérobés sur des versions vulnérables puis réutilisés après mise à jour. Arctic Wolf mentionne aussi l’incident MySonicWall cloud backup sans lien établi avec cette campagne. ...

Selon Arctic Wolf Labs, depuis fin juillet 2025, une hausse d’intrusions impliquant des connexions suspectes aux SonicWall SSL VPN est observée, rapidement suivies de scans réseau, d’activité SMB via Impacket et du déploiement du ransomware Akira. SonicWall relie ces connexions malveillantes à la vulnérabilité CVE‑2024‑40766 (improper access control), laissant penser à une réutilisation d’identifiants récoltés sur des appareils auparavant vulnérables, même après correctif. L’infrastructure de la campagne a encore évolué au 20 septembre 2025. ...

Selon BleepingComputer (Sergiu Gatlan, 23 septembre 2025), SonicWall a publié un nouveau firmware pour les appliances SMA 100 afin d’aider à retirer un rootkit observé dans des attaques récentes. 🛡️ SonicWall annonce la version de firmware SMA 100 10.2.2.2-92sv avec vérifications de fichiers renforcées permettant de retirer des rootkits connus présents sur les équipements. L’éditeur recommande fortement la mise à niveau pour les SMA 210, 410 et 500v. 🔎 Contexte menace: en juillet, le Google Threat Intelligence Group (GTIG) a observé l’acteur UNC6148 déployer le malware OVERSTEP sur des appareils SMA 100 en fin de vie, dont le support se termine le 1er octobre 2025. OVERSTEP est un rootkit en mode utilisateur qui assure une persistance (composants cachés, reverse shell) et exfiltre des fichiers sensibles (dont les fichiers persist.database et certificats), exposant identifiants, graines OTP et certificats. ...

Source : SonicWall (Support). ⚠️ SonicWall indique avoir détecté puis confirmé un incident visant le service de sauvegarde cloud de ses pare-feux : des attaques par force brute ont permis à des acteurs malveillants d’accéder à des fichiers de préférences de pare-feu stockés dans le cloud. Selon l’éditeur, l’accès concerne moins de 5 % de la base installée. Les identifiants présents dans ces fichiers sont chiffrés, mais les fichiers contiennent également des informations pouvant faciliter une exploitation des pare-feux concernés. SonicWall précise n’avoir aucune preuve de fuite publique à ce stade et qu’il ne s’agit pas d’un ransomware, mais d’une série d’attaques par force brute. ...