IT分销巨头英迈遭勒索攻击服务瘫痪近一周，中国客户订单或受扰乱

排行榜 2025年07月09日 22:31 0 admin

图：Imcheeseless via Wikimedia Commons (CC BY-SA 4.0)

跨国IT分销巨头英迈遭勒索攻击，业务服务已瘫痪近一周，官方最新公告称目前攻击已被遏制，受影响系统已得到修复，正在努力恢复上线；

由于服务瘫痪，大量客户无法在线提交订单，官方后续称中国等部分国家的订单已可通过电话或邮件处理；

有消息人士透露，疑似SafePay勒索软件组织通过英迈内部的Palo Alto VPN平台入侵进内网，英迈的下游客户担忧可能被牵连攻击。

安全内参7月9日消息，全球最大的IT分销商之一英迈（Ingram Micro）披露，公司在美国独立日假期期间遭遇了一次勒索软件攻击，导致全球服务大范围中断。

英迈总部位于美国加州，数十年来一直是IT分销领域的重要参与者。2016年，该公司被中国海航集团旗下投资公司以约60亿美元收购。2021年，私募股权公司铂金资本（Platinum Equity）以72亿美元接手英迈。2024年10月，英迈启动IPO，筹资约4.09亿美元。

公司服务已中断近一周损失惨重

最早的异常出现在7月3日，当时多家解决方案提供商、经销商及托管服务提供商（MSP）发现英迈官网无法访问，致使他们无法在线提交订单。近年来，勒索软件攻击者频繁选择节假日长周末，针对高价值组织发动攻击。

服务中断持续超过两天后，英迈于7月5日晚间发布声明，证实客户的担忧属实，并确认此次中断确由勒索软件所致。

英迈表示：“近期我们在部分内部系统中发现了勒索软件。在问题发现后，公司迅速采取措施保护相关环境，包括主动关闭部分系统并实施其他缓解措施。同时，公司已在领先网络安全专家的协助下启动调查，并通知了执法机构。”

公司还表示，正“全力恢复受影响的系统，以便尽快处理并发运订单”，并就此次中断向客户及供应商合作伙伴致以诚挚歉意。

图：英迈发布的SEC公告

英迈还于7月5日向美国证券交易委员会提交8-K表格，向投资者披露了此次攻击事件。

图：英迈官网的事件披露页面

7月7日，英迈上线了一个专门页面，用于公布恢复工作的最新进展，并宣布全球范围内的订阅订单已恢复处理。英国、德国、法国、意大利、西班牙、巴西、印度和中国的订单，已经可以通过电话或电子邮件处理。7月8日英迈更新公告，加拿大和奥地利的订单也已可通过电话或电子邮件方式处理。

客户订单受阻，并担忧可能被牵连攻击

此次对英迈的攻击可能对客户和合作伙伴构成严重风险，远不止于订单受阻。许多下游客户高度依赖IT分销商的平台开展采购和其他服务。

一位不愿透露姓名的MSP客户高管表示，他们担心勒索软件攻击者可能会通过英迈平台渗透至其公司网络。该高管称，公司目前正在撤销对其Microsoft租户的第三方特权访问权限，以切断这一潜在的攻击通道。

近年来，勒索软件组织越来越频繁地将MSP作为攻击目标，因为他们通常拥有对客户网络的深入访问权限。比如在四年前，REvil勒索软件组织曾利用Kaseya VSA远程管理产品中的零日漏洞，发动了一场大规模攻击，波及大约1500家MSP客户。

图：英迈中国官网上显示的网络安全事件通知

截至目前，英迈的美国官网已重新上线，但部分子域名及地区站点仍无法访问，页面显示“英迈当前正遭遇网络安全事件”，并附有7月5日发布的声明链接。用于采购软硬件和服务的Ingram Micro Xvantage平台仍处于离线状态。

SafePay勒索组织或通过

Palo Alto VPN进入内网

有消息人士透露，攻击者疑似通过英迈的Palo Alto Networks GlobalProtect VPN平台入侵其系统。

攻击发生后，公司部分地区的员工被要求居家办公。与此同时，公司关闭了部分内部系统，并通知员工暂勿通过GlobalProtect VPN访问公司网络，因该平台也受到了本次IT中断的影响。

多个地区的关键系统受此次攻击波及，包括公司基于AI的Xvantage分销平台和Impulse许可证配置平台。不过，Microsoft 365、Teams和SharePoint等其他内部服务依然正常运作。

Palo Alto Networks表示：“我们正在调查相关说法。威胁行为者往往利用被盗凭证或网络配置漏洞，通过VPN网关获取系统访问权限。”

图：英迈内部设备上的SafePay勒索信

目前尚无法确认此次攻击背后的勒索软件组织身份。不过有媒体公布了发送给英迈的勒索信，称攻击者为SafePay组织。

然而，SafePay的暗网泄露网站上并未提及英迈。不过，勒索软件组织会先与受害者进行长达数日的谈判，视谈判结果再选择是否公开认领攻击。

SafePay是一个新兴的勒索软件组织，最早于2024年被威胁分析师识别。近几个月来，该组织攻击活动显著增多。根据NCC Group于5月发布的《Threat Pulse》报告，SafePay是当月最活跃的勒索软件组织，占据所有已知攻击的18%。

网络安全专家Rebecca Moody表示，他们已追踪到SafePay组织的238起攻击事件，其中包括近期针对政府技术承包商Conduent和英国科技公司Microlise的攻击。Moody指出：“过去几个月内，SafePay平均每次从受害组织中窃取了111 GB的数据，这可能引发严重的数据泄露事件。”

SafePay在其泄露网站上明确表示：“我们从未，也永远不会提供RaaS服务。”这与众多采用RaaS模式的组织形成鲜明对比，后者通常向网络犯罪分子出售恶意软件、工具乃至初始访问权限，并从中分成。

参考资料：darkreading.com