Ingram Micro، یکی از بزرگترین توزیعکنندگان فناوری در جهان، تأیید کرده که قطعی چندروزه سیستمهایش ناشی از حمله باجافزاری گروه SafePay بوده است. این حمله باعث اختلال در خدمات و نگرانی شرکای تجاری شده است.
جزئیات حمله و واکنش Ingram Micro
مشکلات از ۳ ژوئیه ۲۰۲۵ آغاز شد، زمانی که مشتریان تجاری، از جمله فروشندگان و ارائهدهندگان خدمات مدیریتشده، گزارش دادند که به دلیل قطعی سیستمها و خطوط تلفن، قادر به ثبت سفارش نیستند. تلاشها برای تماس با مدیران و بخش روابط عمومی شرکت بیپاسخ ماند تا اینکه Ingram Micro در روز ۵ ژوئیه حدود ساعت ۱۵:۰۰ به وقت جهانی بیانیهای منتشر کرد.
طبق بیانیه، Ingram Micro اخیرا باجافزار را در برخی از سیستمهای داخلی خود شناسایی کرده است. بلافاصله پس از آگاهی از این مشکل، شرکت اقداماتی از جمله غیرفعال کردن برخی سیستمها بهصورت پیشفعال و اجرای اقدامات کاهشدهنده ریسک، برای ایمنسازی محیط مربوطه انجام داد. همچنین، تحقیقات با کمک کارشناسان برجسته امنیت سایبری آغاز شده و نهادهای مجری قانون مطلع شدهاند. Ingram Micro در حال تلاش برای بازگرداندن سیستمهای آسیبدیده است تا پردازش و ارسال سفارشها از سر گرفته شود و از مشتریان، شرکای تجاری و سایر ذینفعان برای اختلال ایجادشده عذرخواهی کرده است.
این حمله توانایی شرکت برای ثبت سفارش محصولات فیزیکی و مدیریت مجوزهای Microsoft 365 و Dropbox را مختل کرده است. منبعی گزارش داده که کارکنان مرکز خدمات Ingram Micro در بلغارستان در ۴ ژوئیه به خانه فرستاده شده و از آنها خواسته شده تا لپتاپهایشان را از شبکه جدا نگه دارند، زیرا سیستمها کاملا خاموش شده بودند.
گروه SafePay
گروه باجافزاری SafePay مسئولیت این حمله را بر عهده گرفته است. یادداشت باجافزاری منتشرشده توسط این گروه ادعا میکند که آنها از چندین اشتباه Ingram Micro در پیکربندی امنیتی شبکه شرکتی سوءاستفاده کردهاند، که به آنها امکان داده تا مدت طولانی در شبکه حضور داشته و آن را به خطر بیندازند. این گروه مدعی است که پیکربندی نادرست شبکه امکان حمله را فراهم کرده و این موقعیت را بهعنوان یک «جلسه آموزشی پولی» برای مدیران سیستم شرکت توصیف کرده است.
یادداشت باجافزاری ادعا میکند که مهاجمان به اطلاعات حساس و محرمانه، از جمله اسناد مالی، سوابق حسابداری، دعاوی حقوقی، پروندههای شخصی و مشتریان، جزئیات بانکی و تراکنشها دسترسی پیدا کردهاند. همچنین ادعا شده که تمام فایلهای مهم رمزگذاری شده و دادههای حیاتی در سروری امن برای «اکسپلویت و انتشار عمومی در وب» ذخیره شدهاند. گروه SafePay اعلام کرده که سرورهای شرکت را مسدود کرده و تنها پس از توافق، آنها را آزاد خواهد کرد. این گروه تأکید کرده که این حمله انگیزه سیاسی ندارد و صرفا به دنبال پول است و Ingram Micro هفت روز برای مذاکره فرصت دارد. با این حال، این ادعاها تا زمانی که بهصورت مستقل تأیید نشوند، باید با احتیاط بررسی شوند.
منابع گزارش دادهاند که گروه SafePay احتمالا از طریق پلتفرم GlobalProtect VPN به سیستمهای Ingram Micro نفوذ کرده است، اگرچه این موضوع هنوز تأیید نشده است. طبق گزارش سرویس اطلاعات تهدید Fortra، گروه SafePay در ماه می ۲۰۲۵ فعالترین گروه باجافزاری جهان بود و تنها در آن ماه ۷۰ حمله به این گروه و وابستگانش نسبت داده شد. شرکت Microlise یکی از قربانیان برجسته این گروه در اکتبر سال گذشته بود.
تأثیرات و زمینه مالی
Ingram Micro روزانه صدها میلیون دلار فروش دارد، بنابراین حتی یک روز اختلال تأثیر قابلتوجهی دارد. این شرکت در سال مالی گذشته خود که در ۲۸ دسامبر ۲۰۲۴ پایان یافت، درآمدی بالغ بر ۴۸ میلیارد دلار و سود خالص ۲۶۲.۲ میلیون دلار ثبت کرده است. این شرکت طیف گستردهای از محصولات سختافزاری، نرمافزاری، خدمات ابری، مدیریت داراییهای فناوری اطلاعات، لجستیک شخص ثالث، ارسال مستقیم و بازاریابی مجدد را به فروش میرساند.
توصیههای امنیتی
گراهام کلولی، محقق جرایم سایبری Fortra، اعلام کرده که SafePay به استفاده از اطلاعات ورود به سیستم VPN یا RDP سرقتشده معروف است و برخلاف بسیاری از حملات باجافزاری دیگر، کمتر از تکنیکهای فیشینگ استفاده میکند. بنابراین، سازمانهایی که نگران هدف قرار گرفتن هستند، باید احراز هویت چندمرحلهای را برای تمام نقاط دسترسی از راه دور اعمال کنند، دسترسیهای RDP یا VPN غیرضروری را غیرفعال کنند و از لیستهای مجاز IP یا محدودیت جغرافیایی استفاده کنند.
