Tre giorni fa, il sito di Ingram Micro mostrava un avviso di manutenzione. L’azienda statunitense ha ora confermato che alcuni sistemi interni sono stati colpiti da un attacco ransomware. Bleeping Computer ha scoperto che si tratta di SafePay. Al momento, il sito italiano è ancora offline.
Primi dettagli sull’attacco ransomware
Ingram Micro è uno dei maggiori distributori e fornitori mondiali di servizi tecnologici business-to-business. Offre soluzioni hardware, software, cloud, logistiche e di formazione. La sede principale si trova a Irvine (California), ma ha oltre 50 uffici in altri paesi. L’azienda ha circa 24.000 dipendenti e un fatturato di circa 48 miliardi di dollari (2024).
Il sito statunitense è stato inaccessibile per alcune ore dal 4 luglio. Sulla home page è apparso un avviso di manutenzione. In base alle informazioni ricevute da Bleeping Computer, i clienti non potevano effettuare ordini, mentre i dipendenti non potevano accedere ai sistemi interni.
L’ipotesi di un attacco informatico è diventata realtà, dopo la comunicazione ufficiale dell’azienda (sul sito italiano, ancora offline, viene infatti confermato l’incidente di sicurezza).
Ingram Micro ha recentemente identificato un ransomware su alcuni dei suoi sistemi interni. Subito dopo aver appreso del problema, l’azienda ha adottato misure per proteggere l’ambiente interessato, tra cui la disattivazione proattiva di alcuni sistemi e l’implementazione di altre misure di mitigazione. L’azienda ha inoltre avviato un’indagine con la collaborazione di importanti esperti di sicurezza informatica e ha informato le forze dell’ordine. Ingram Micro sta lavorando con impegno per ripristinare i sistemi interessati in modo da poter elaborare e spedire gli ordini e si scusa per qualsiasi interruzione che questo problema stia causando ai suoi clienti, ai suoi partner fornitori e ad altri.
Bleeping Computer ha scoperto che il ransomware è SafePay, dopo aver letto il file di testo trovato sui dispositivi da alcuni dipendenti. Ingram Micro ha sette giorni di tempo per contattare i cybercriminali e avviare i negoziati sul riscatto da pagare per evitare la pubblicazione dei dati rubati.
L’intrusione sarebbe avvenuta tramite la piattaforma GlobalProtect VPN. Altri dettagli dovrebbero essere divulgati nei prossimi giorni.
