حمله باج‌افزاری SafePay باعث اختلال در خدمات Ingram Micro شد.

به‌روزرسانی ۷ ژوئیه ۲۰۲۵: تأیید Ingram Micro مبنی بر وقوع حمله باج‌افزاری دریافت شد. همچنین نسخه واضح‌تری از یادداشت باج‌گیری (ransom note) به متن اضافه شده است.

براساس اطلاعات دریافتی از BleepingComputer، قطعی ادامه‌دار خدمات شرکت بزرگ فناوری Ingram Micro ناشی از حمله باج‌افزاری SafePay بوده است که منجر به خاموش‌سازی سامانه‌های داخلی این شرکت شده است.

Ingram Micro یکی از بزرگ‌ترین توزیع‌کنندگان فناوری B2B و ارائه‌دهندگان خدمات در جهان محسوب می‌شود و مجموعه‌ای از راهکارها از جمله سخت‌افزار، نرم‌افزار، خدمات ابری، لجستیک و آموزش را به فروشندگان و ارائه‌دهندگان خدمات مدیریت‌شده در سراسر دنیا ارائه می‌دهد.

از روز پنج‌شنبه، وب‌سایت و سامانه‌های ثبت سفارش آنلاین Ingram Micro از دسترس خارج شده‌اند، در حالی‌که این شرکت علت این اختلالات را رسماً اعلام نکرده بود.

اکنون، BleepingComputer تأیید کرده است که این اختلالات در پی یک حمله سایبری که بامداد پنج‌شنبه رخ داده، به وقوع پیوسته است؛ به‌طوری‌که کارکنان شرکت به‌طور ناگهانی با یادداشت‌های باج‌گیری روی دستگاه‌های خود مواجه شده‌اند.

یادداشت باج‌گیری مشاهده‌شده توسط BleepingComputer، به عملیات باج‌افزاری SafePay مربوط می‌شود که به‌عنوان یکی از فعال‌ترین گروه‌های باج‌افزار در سال ۲۰۲۵ شناخته می‌شود. هنوز مشخص نیست که آیا در جریان این حمله، دستگاه‌ها واقعاً رمزگذاری شده‌اند یا خیر.

شایان ذکر است که اگرچه در یادداشت باج‌گیری ادعا شده اطلاعات گسترده‌ای به سرقت رفته، اما این ادعا بخشی از متنی عمومی است که در تمامی یادداشت‌های SafePay استفاده می‌شود و ممکن است در مورد حمله به Ingram Micro صحت نداشته باشد.

به گفته منابع آگاه به BleepingComputer، اعتقاد بر این است که عاملان تهدید از طریق پلتفرم GlobalProtect VPN به سامانه‌های Ingram Micro نفوذ کرده‌اند.

پس از شناسایی حمله، به کارکنان برخی شعبه‌ها اعلام شد که از منزل کار کنند. همچنین شرکت سامانه‌های داخلی خود را غیرفعال کرده و به کارکنان دستور داد از دسترسی VPN پلتفرم GlobalProtect استفاده نکنند، چرا که این پلتفرم تحت تأثیر اختلالات IT قرار گرفته است.

سامانه‌هایی که در چندین موقعیت جغرافیایی تحت تأثیر قرار گرفته‌اند شامل پلتفرم توزیع هوشمند مبتنی بر هوش مصنوعی Xvantage و پلتفرم صدور مجوز Impulse هستند. با این حال، به گفته منابع، سایر سرویس‌های داخلی مانند Microsoft 365، Teams و SharePoint همچنان بدون اختلال در حال اجرا هستند.

تا روز گذشته، Ingram Micro هنوز این حمله را به‌طور عمومی یا به کارکنان خود اعلام نکرده و تنها در قالب اطلاعیه‌های داخلی، بروز «مشکلات فناوری اطلاعات» را اطلاع‌رسانی کرده است؛ این اطلاعیه‌ها با BleepingComputer به اشتراک گذاشته شده‌اند.

گروه باج‌افزاری SafePay یک عملیات نسبتاً جدید است که برای نخستین بار در نوامبر ۲۰۲۴ مشاهده شده و از آن زمان تاکنون بیش از ۲۲۰ قربانی را هدف قرار داده است.

مشاهدات پیشین نشان داده‌اند که این عملیات باج‌افزاری از طریق درگاه‌های VPN و با استفاده از اطلاعات کاربری به‌دست‌آمده از حملات password spraying یا credentials سرقت‌شده به شبکه‌های سازمانی نفوذ می‌کند.

BleepingComputer روز گذشته و امروز با Ingram Micro برای دریافت نظر درباره قطعی خدمات و حمله باج‌افزاری تماس گرفته، اما پاسخی به ایمیل‌ها دریافت نکرده است.

به‌روزرسانی ۷ ژوئیه ۲۰۲۵: شرکت Ingram Micro صبح روز یکشنبه در اطلاعیه‌ای کوتاه تأیید کرد که هدف حمله باج‌افزاری قرار گرفته است.

در بیانیه Ingram Micro آمده است:

«اخیراً، Ingram Micro وجود باج‌افزار در برخی از سامانه‌های داخلی خود را شناسایی کرده است. پس از آگاهی از این مسئله، شرکت اقدامات لازم را برای ایمن‌سازی محیط آسیب‌دیده انجام داد، از جمله خاموش‌سازی پیشگیرانه برخی سامانه‌ها و اجرای تدابیر کاهش اثرات. همچنین، تحقیقاتی با همکاری کارشناسان برجسته امنیت سایبری آغاز شده و مراجع قانونی نیز مطلع شده‌اند.»

«Ingram Micro به‌صورت شبانه‌روزی در حال تلاش برای بازیابی سامانه‌های تحت‌تأثیر است تا بتواند فرآیند پردازش و ارسال سفارش‌ها را از سر گیرد. شرکت بابت هرگونه اختلالی که این رویداد برای مشتریان، شرکای فروش و سایر ذی‌نفعان ایجاد کرده، عذرخواهی می‌کند.»