金融軟體服務供應商Marquis遭勒索軟體入侵，改指肇因為MySonicWall備份檔未授權存取

金融軟體服務供應商Marquis對客戶說明，其2025年8月遭勒索軟體入侵的原因研判出現轉向。外媒BleepingComputer報導，Marquis在給客戶的說明中表示，攻擊者未必是利用未修補的SonicWall防火牆弱點，而是透過MySonicWall雲端備份事件中遭未授權存取的防火牆設定備份資料，進而繞過防護入侵其環境。

Marquis委任律師事務所於2025年11月26日提交給華盛頓州檢察長辦公室的說明指出，Marquis在2025年8月14日偵測到網路可疑活動並確認遭勒索軟體攻擊，鑑識調查顯示未授權第三方在同日透過其SonicWall防火牆存取Marquis網路，並可能取得部分檔案。文件並稱，檢視可能遭存取的檔案後，確認其中包含來自部分商業客戶的個人資料，可能涉及姓名、地址、電話、社會安全碼、納稅人識別碼、未含安全碼或存取碼的金融帳戶資訊與出生日期，目前未發現個資遭濫用或嘗試濫用的證據。

該事件之所以引起關注，是因為Marquis屬於提供大量金融機構共通服務的供應商，Marquis官網公開其服務涵蓋全美超過700家銀行、信用合作社與房貸機構。BleepingComputer在2025年12月的報導整理多州檢察長辦公室公告內容，指出已可從通知文件辨識出至少74家銀行與信用合作社受到波及，受影響人數累計超過40萬。

SonicWall於2025年9月17日發布MySonicWall雲端備份檔事件公告，並在2025年10月更新公告指出，與資安事件應變業者Mandiant完成調查後確認，未授權方曾存取所有使用過SonicWall雲端備份服務客戶的防火牆設定備份檔。SonicWall最初對外說明受影響比例較低，後續才在10月更新為涵蓋所有使用雲端備份的客戶。

SonicWall在公告中指出，防火牆設定備份.EXP檔是設備設定的完整快照，包含憑證與其他機密資訊。檔案內容整體是編碼而非加密，但憑證與機密欄位會個別加密，因此一般設定細節在解碼後可讀，密碼與金鑰仍維持加密狀態。SonicWall並表示，即使加密仍在，持有這些檔案仍可能增加被針對性攻擊的風險。

外媒TechCrunch則引述SonicWall發言人指出，目前沒有新的證據足以證實MySonicWall事件與針對防火牆等邊緣設備的全球勒索軟體攻擊存在關聯，並要求Marquis提供佐證。