ענקית ה-IT תחת מתקפת כופר: שירותים מרכזיים לא זמינים מהשבוע שעבר
מתקפת כופר משביתה מאז יום חמישי מערכות מרכזיות של Ingram Micro - אחת מחברות ה-IT הגדולות בעולם. המתקפה נחשפה כשמכתבי הכופר נשלחו למכשירי העובדים
אתר אינגרם מיקרו לאחר הפריצה לשירותי החברה. תמונה: צילום מסך
כבר למעלה משלושה ימים שמתקפת כופר משביתה את מערכותיה של אחת מחברות ה-IT הגדולות בעולם – Ingram Micro. לפי הודעת החברה, הפסקת השירות שהובילה להשבתת מערכת ההזמנות המקוונת ולהרמת גבות מצד לקוחות, נגרמה בעקבות מתקפת כופר של קבוצת SafePay, שהחלה לפעול נגד החברה ועובדיה בשעות הבוקר של יום חמישי.
Ingram Micro, מהשחקניות המרכזיות בתחום הפצת פתרונות טכנולוגיים לעסקים, מספקת שירותים בתחום החומרה, התוכנה, הענן, הלוגיסטיקה וההדרכה, אך מאז יום חמישי חלק משמעותי מהשירותים הללו אינו זמין. המתקפה נחשפה כשחלק מעובדי החברה גילו לפתע מכתבי כופר במכשיריהם. מכתב הכופר, שנחשף בדיווח המקורי של אתר BleepingComputer, מזוהה עם קבוצת SafePay, אחת מקבוצות הכופר הפעילות ביותר בשנת 2025. עם זאת, בשלב זה לא ברור אם המתקפה כללה גם הצפנת נתונים.
לפי ההערכות, הפריצה בוצעה דרך פלטפורמת ה-VPN שדרכה העובדים מתחברים מרחוק. בעקבות המתקפה השביתה החברה מערכות פנימיות וביקשה מהעובדים להפסיק להשתמש זמנית ב-VPN, שבשנה האחרונה הפך לכלי הפריצה החביב על הפורצים.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בין המערכות שנפגעו: פלטפורמת ההפצה Xvantage, המבוססת על בינה מלאכותית, ופלטפורמת ניהול הרישיונות Impulse. עם זאת, שירותים כמו Microsoft 365, Teams ו-SharePoint ממשיכים לפעול כרגיל.
תגובת החברה: "פועלים במרץ לשחזור המערכות"
אחרי יומיים של שתיקה, פרסמה Ingram Micro הצהרה רשמית ובה נכתב: "Ingram Micro זיהתה לאחרונה נוזקת כופר במספר מערכות פנימיות. מיד לאחר גילוי הבעיה, נקטה החברה בצעדים לאבטחת הסביבה הרלוונטית, כולל השבתה יזומה של מערכות מסוימות ויישום אמצעים נוספים לצמצום הפגיעה. החברה פתחה בחקירה בסיוע מומחי סייבר והודיעה לרשויות החוק. אנו פועלים במרץ לשחזור המערכות ולחידוש מלא של עיבוד ההזמנות. אנו מתנצלים על כל שיבוש שנגרם ללקוחות, לשותפים העסקיים ולכל המעורבים". נכון לעכשיו, האתר הרשמי של החברה עדיין לא זמין, ובמקום דף הבית מופיעה הצהרת החברה.
קבוצת SafePay, שנצפתה לראשונה בנובמבר 2024, צברה מאז למעלה מ-220 קורבנות. לרוב, חברי הקבוצה פורצים לרשתות ארגוניות דרך שערי VPN, תוך שימוש בסיסמאות שנפרצו או במתקפות מסוג password spraying.
