首页 排行榜文章正文

IT分销巨头英迈遭勒索攻击服务瘫痪近一周,中国客户订单或受扰乱

排行榜 2025年07月09日 22:31 0 admin
IT分销巨头英迈遭勒索攻击服务瘫痪近一周,中国客户订单或受扰乱

图:Imcheeseless via Wikimedia Commons (CC BY-SA 4.0)

跨国IT分销巨头英迈遭勒索攻击,业务服务已瘫痪近一周,官方最新公告称目前攻击已被遏制,受影响系统已得到修复,正在努力恢复上线; 

由于服务瘫痪,大量客户无法在线提交订单,官方后续称中国等部分国家的订单已可通过电话或邮件处理; 

有消息人士透露,疑似SafePay勒索软件组织通过英迈内部的Palo Alto VPN平台入侵进内网,英迈的下游客户担忧可能被牵连攻击。

安全内参7月9日消息,全球最大的IT分销商之一英迈(Ingram Micro)披露,公司在美国独立日假期期间遭遇了一次勒索软件攻击,导致全球服务大范围中断。

英迈总部位于美国加州,数十年来一直是IT分销领域的重要参与者。2016年,该公司被中国海航集团旗下投资公司以约60亿美元收购。2021年,私募股权公司铂金资本(Platinum Equity)以72亿美元接手英迈。2024年10月,英迈启动IPO,筹资约4.09亿美元。

公司服务已中断近一周损失惨重

最早的异常出现在7月3日,当时多家解决方案提供商、经销商及托管服务提供商(MSP)发现英迈官网无法访问,致使他们无法在线提交订单。近年来,勒索软件攻击者频繁选择节假日长周末,针对高价值组织发动攻击。

服务中断持续超过两天后,英迈于7月5日晚间发布声明,证实客户的担忧属实,并确认此次中断确由勒索软件所致。

英迈表示:“近期我们在部分内部系统中发现了勒索软件。在问题发现后,公司迅速采取措施保护相关环境,包括主动关闭部分系统并实施其他缓解措施。同时,公司已在领先网络安全专家的协助下启动调查,并通知了执法机构。”

公司还表示,正“全力恢复受影响的系统,以便尽快处理并发运订单”,并就此次中断向客户及供应商合作伙伴致以诚挚歉意。

IT分销巨头英迈遭勒索攻击服务瘫痪近一周,中国客户订单或受扰乱

图:英迈发布的SEC公告

英迈还于7月5日向美国证券交易委员会提交8-K表格,向投资者披露了此次攻击事件。

IT分销巨头英迈遭勒索攻击服务瘫痪近一周,中国客户订单或受扰乱

图:英迈官网的事件披露页面

7月7日,英迈上线了一个专门页面,用于公布恢复工作的最新进展,并宣布全球范围内的订阅订单已恢复处理。英国、德国、法国、意大利、西班牙、巴西、印度和中国的订单,已经可以通过电话或电子邮件处理。7月8日英迈更新公告,加拿大和奥地利的订单也已可通过电话或电子邮件方式处理。

客户订单受阻,并担忧可能被牵连攻击

此次对英迈的攻击可能对客户和合作伙伴构成严重风险,远不止于订单受阻。许多下游客户高度依赖IT分销商的平台开展采购和其他服务。

一位不愿透露姓名的MSP客户高管表示,他们担心勒索软件攻击者可能会通过英迈平台渗透至其公司网络。该高管称,公司目前正在撤销对其Microsoft租户的第三方特权访问权限,以切断这一潜在的攻击通道。

近年来,勒索软件组织越来越频繁地将MSP作为攻击目标,因为他们通常拥有对客户网络的深入访问权限。比如在四年前,REvil勒索软件组织曾利用Kaseya VSA远程管理产品中的零日漏洞,发动了一场大规模攻击,波及大约1500家MSP客户。

IT分销巨头英迈遭勒索攻击服务瘫痪近一周,中国客户订单或受扰乱

图:英迈中国官网上显示的网络安全事件通知

截至目前,英迈的美国官网已重新上线,但部分子域名及地区站点仍无法访问,页面显示“英迈当前正遭遇网络安全事件”,并附有7月5日发布的声明链接。用于采购软硬件和服务的Ingram Micro Xvantage平台仍处于离线状态。

SafePay勒索组织或通过

Palo Alto VPN进入内网

有消息人士透露,攻击者疑似通过英迈的Palo Alto Networks GlobalProtect VPN平台入侵其系统。

攻击发生后,公司部分地区的员工被要求居家办公。与此同时,公司关闭了部分内部系统,并通知员工暂勿通过GlobalProtect VPN访问公司网络,因该平台也受到了本次IT中断的影响。

多个地区的关键系统受此次攻击波及,包括公司基于AI的Xvantage分销平台和Impulse许可证配置平台。不过,Microsoft 365、Teams和SharePoint等其他内部服务依然正常运作。

Palo Alto Networks表示:“我们正在调查相关说法。威胁行为者往往利用被盗凭证或网络配置漏洞,通过VPN网关获取系统访问权限。”

IT分销巨头英迈遭勒索攻击服务瘫痪近一周,中国客户订单或受扰乱

图:英迈内部设备上的SafePay勒索信

目前尚无法确认此次攻击背后的勒索软件组织身份。不过有媒体公布了发送给英迈的勒索信,称攻击者为SafePay组织。

然而,SafePay的暗网泄露网站上并未提及英迈。不过,勒索软件组织会先与受害者进行长达数日的谈判,视谈判结果再选择是否公开认领攻击。

SafePay是一个新兴的勒索软件组织,最早于2024年被威胁分析师识别。近几个月来,该组织攻击活动显著增多。根据NCC Group于5月发布的《Threat Pulse》报告,SafePay是当月最活跃的勒索软件组织,占据所有已知攻击的18%。

网络安全专家Rebecca Moody表示,他们已追踪到SafePay组织的238起攻击事件,其中包括近期针对政府技术承包商Conduent和英国科技公司Microlise的攻击。Moody指出:“过去几个月内,SafePay平均每次从受害组织中窃取了111 GB的数据,这可能引发严重的数据泄露事件。”

SafePay在其泄露网站上明确表示:“我们从未,也永远不会提供RaaS服务。”这与众多采用RaaS模式的组织形成鲜明对比,后者通常向网络犯罪分子出售恶意软件、工具乃至初始访问权限,并从中分成。


参考资料:darkreading.com

发表评论

长征号 Copyright © 2013-2024 长征号. All Rights Reserved.  sitemap