Az Egyesült Államok egy nagyobb IT termék- és szolgáltatásterjesztő vállalata, az Ingram Micro megerősítette, hogy zsarolóvírus-támadás érte belső rendszereit, ami globális működési zavarokat okozott a hosszú hétvége idején. A vállalat hivatalos közleménye szerint a ransomware-t bizonyos belső rendszereken azonosították, és az érintett infrastruktúrát azonnal leválasztották. A cég az eset után kibervédelmi szakértők bevonásával vizsgálatot indított, valamint értesítette a hatóságokat is. A cél most a működés helyreállítása, hogy az ügyféligényeket – különösen a megrendelések feldolgozását és szállítását – újra zökkenőmentesen kezelhessék.

Az Ingram Micro hangsúlyozta:

„A vállalat elnézést kér minden kellemetlenségért, amelyet ez az incidens ügyfeleinek, beszállító partnereinek és más érintetteknek okozhatott.”

A támadás következményei

A szolgáltatások leállásáról először a BleepingComputer számolt be, amely később azt is jelentette, hogy az SafePay nevű zsarolóvírus-csoport állhat a támadás mögött. Bár a SafePay csoport dark webes kiszivárogtató oldalán egyelőre nem szerepel az Ingram Micro neve, szakértők szerint ez nem szokatlan – gyakran csak napokkal később indul el a kommunikáció és a zsarolási folyamat.

A támadás során az Ingram Micro ügyfelei – köztük rendszerintegrátorok, viszonteladók és menedzselt szolgáltatók (MSP-k) – nem tudták elérni az online rendelési rendszereket, ami jelentős fennakadást okozott a globális IT-ellátási láncban.

SafePay: az új fenyegetés

A SafePay egy 2024-ben azonosított új zsarolóvírus-banda, amely 2025-re már az egyik legaktívabb szereplővé vált. Az NCC Group májusi fenyegetésjelentése szerint a SafePay az összes zsarolóvírus-támadás 18%-áért volt felelős az adott hónapban.

Rebecca Moody, a Comparitech kiberbiztonsági elemzője elmondta:

„Csapatunk eddig 238 támadást tulajdonított a SafePay-nek, köztük az amerikai Conduent és a brit Microlise ellen irányuló támadásokat is. Átlagosan 111 GB adatot lopnak el egy-egy áldozattól, ami súlyos adatvédelmi incidensekhez vezethet.”

Egy korábbi példa a Marlboro-Chesterfield Pathology elleni januári támadás, ahol 30 GB adat kiszivárgása miatt közel 236 ezer embernek kellett adatvédelmi tájékoztatást küldeni.

A támadás hatása a partnerekre

A kiberincidens nemcsak az Ingram Micro működésére, hanem az ügyfelek biztonságára is hatással lehet. Egy neve elhallgatását kérő MSP-cég vezetője elmondta, hogy az Ingram platformjain keresztüli hozzáférések kockázatot jelenthetnek, ezért ők jelenleg megszüntetik a Microsoft rendszerükhöz tartozó harmadik féltől származó jogosultságokat. Az MSP-k (menedzselt szolgáltató partnerek) gyakori célpontjai a zsarolóvírus-csoportoknak, mivel hozzáféréssel rendelkeznek ügyfeleik teljes informatikai hálózatához. Emlékezetes, hogy 2021-ben a hírhedt REvil banda egy Kaseya-n keresztüli támadással mintegy 1500 MSP ügyfelet ért el egyszerre.

A jelenlegi helyreállítási folyamat

Az Ingram Micro a támadás után 8-K formanyomtatványt is benyújtott az amerikai Értékpapír- és Tőzsdefelügyeletnek (SEC). A vállalat hétfőn külön weboldalt indított az ügyfelek tájékoztatására, ahol rendszeresen frissítik az újraindítási folyamat állapotát.

A legfrissebb hírek szerint:

• Telefonon vagy e-mailen keresztül már újra lehet rendelni az Egyesült Királyságból, Németországból, Franciaországból, Olaszországból, Spanyolországból, Brazíliából, Indiából, Kínából, Kanadából és Ausztriából.
• Az online rendelési felület azonban továbbra sem működik, és a teljes helyreállítás időzítése egyelőre bizonytalan.

Az Ingram Micro elleni támadás jól példázza, hogy a zsarolóvírus-csoportok egyre célzottabban, akár világméretű hatású szervezeteket is megtámadnak, különösen a kiszolgáltatott időszakokban – például ünnepi hétvégéken. Az eset újabb figyelmeztetés arra, hogy az ellátási láncban rejlő kiberbiztonsági kockázatokat minden szereplőnek komolyan kell vennie.