حمله باجافزاری SafePay باعث اختلال در خدمات Ingram Micro شد.
بهروزرسانی ۷ ژوئیه ۲۰۲۵: تأیید Ingram Micro مبنی بر وقوع حمله باجافزاری دریافت شد. همچنین نسخه واضحتری از یادداشت باجگیری (ransom note) به متن اضافه شده است.
براساس اطلاعات دریافتی از BleepingComputer، قطعی ادامهدار خدمات شرکت بزرگ فناوری Ingram Micro ناشی از حمله باجافزاری SafePay بوده است که منجر به خاموشسازی سامانههای داخلی این شرکت شده است.
Ingram Micro یکی از بزرگترین توزیعکنندگان فناوری B2B و ارائهدهندگان خدمات در جهان محسوب میشود و مجموعهای از راهکارها از جمله سختافزار، نرمافزار، خدمات ابری، لجستیک و آموزش را به فروشندگان و ارائهدهندگان خدمات مدیریتشده در سراسر دنیا ارائه میدهد.
از روز پنجشنبه، وبسایت و سامانههای ثبت سفارش آنلاین Ingram Micro از دسترس خارج شدهاند، در حالیکه این شرکت علت این اختلالات را رسماً اعلام نکرده بود.
اکنون، BleepingComputer تأیید کرده است که این اختلالات در پی یک حمله سایبری که بامداد پنجشنبه رخ داده، به وقوع پیوسته است؛ بهطوریکه کارکنان شرکت بهطور ناگهانی با یادداشتهای باجگیری روی دستگاههای خود مواجه شدهاند.
یادداشت باجگیری مشاهدهشده توسط BleepingComputer، به عملیات باجافزاری SafePay مربوط میشود که بهعنوان یکی از فعالترین گروههای باجافزار در سال ۲۰۲۵ شناخته میشود. هنوز مشخص نیست که آیا در جریان این حمله، دستگاهها واقعاً رمزگذاری شدهاند یا خیر.
شایان ذکر است که اگرچه در یادداشت باجگیری ادعا شده اطلاعات گستردهای به سرقت رفته، اما این ادعا بخشی از متنی عمومی است که در تمامی یادداشتهای SafePay استفاده میشود و ممکن است در مورد حمله به Ingram Micro صحت نداشته باشد.
به گفته منابع آگاه به BleepingComputer، اعتقاد بر این است که عاملان تهدید از طریق پلتفرم GlobalProtect VPN به سامانههای Ingram Micro نفوذ کردهاند.
پس از شناسایی حمله، به کارکنان برخی شعبهها اعلام شد که از منزل کار کنند. همچنین شرکت سامانههای داخلی خود را غیرفعال کرده و به کارکنان دستور داد از دسترسی VPN پلتفرم GlobalProtect استفاده نکنند، چرا که این پلتفرم تحت تأثیر اختلالات IT قرار گرفته است.
سامانههایی که در چندین موقعیت جغرافیایی تحت تأثیر قرار گرفتهاند شامل پلتفرم توزیع هوشمند مبتنی بر هوش مصنوعی Xvantage و پلتفرم صدور مجوز Impulse هستند. با این حال، به گفته منابع، سایر سرویسهای داخلی مانند Microsoft 365، Teams و SharePoint همچنان بدون اختلال در حال اجرا هستند.
تا روز گذشته، Ingram Micro هنوز این حمله را بهطور عمومی یا به کارکنان خود اعلام نکرده و تنها در قالب اطلاعیههای داخلی، بروز «مشکلات فناوری اطلاعات» را اطلاعرسانی کرده است؛ این اطلاعیهها با BleepingComputer به اشتراک گذاشته شدهاند.
گروه باجافزاری SafePay یک عملیات نسبتاً جدید است که برای نخستین بار در نوامبر ۲۰۲۴ مشاهده شده و از آن زمان تاکنون بیش از ۲۲۰ قربانی را هدف قرار داده است.
مشاهدات پیشین نشان دادهاند که این عملیات باجافزاری از طریق درگاههای VPN و با استفاده از اطلاعات کاربری بهدستآمده از حملات password spraying یا credentials سرقتشده به شبکههای سازمانی نفوذ میکند.
BleepingComputer روز گذشته و امروز با Ingram Micro برای دریافت نظر درباره قطعی خدمات و حمله باجافزاری تماس گرفته، اما پاسخی به ایمیلها دریافت نکرده است.
بهروزرسانی ۷ ژوئیه ۲۰۲۵: شرکت Ingram Micro صبح روز یکشنبه در اطلاعیهای کوتاه تأیید کرد که هدف حمله باجافزاری قرار گرفته است.
در بیانیه Ingram Micro آمده است:
«اخیراً، Ingram Micro وجود باجافزار در برخی از سامانههای داخلی خود را شناسایی کرده است. پس از آگاهی از این مسئله، شرکت اقدامات لازم را برای ایمنسازی محیط آسیبدیده انجام داد، از جمله خاموشسازی پیشگیرانه برخی سامانهها و اجرای تدابیر کاهش اثرات. همچنین، تحقیقاتی با همکاری کارشناسان برجسته امنیت سایبری آغاز شده و مراجع قانونی نیز مطلع شدهاند.»
«Ingram Micro بهصورت شبانهروزی در حال تلاش برای بازیابی سامانههای تحتتأثیر است تا بتواند فرآیند پردازش و ارسال سفارشها را از سر گیرد. شرکت بابت هرگونه اختلالی که این رویداد برای مشتریان، شرکای فروش و سایر ذینفعان ایجاد کرده، عذرخواهی میکند.»