Segons ha sabut BleepingComputer, una interrupció en curs al gegant informàtic Ingram Micro ha estat causada per un atac de programari de segrest SafePay que va provocar l’aturada dels sistemes interns.

Ingram Micro és un dels distribuïdors i proveïdors de serveis de tecnologia d’empresa a empresa més grans del món, que ofereix una gamma de solucions que inclouen maquinari, programari, serveis al núvol, logística i formació a revenedors i proveïdors de serveis gestionats a tot el món.

Des de dijous passat, el web d’Ingram Micro i els sistemes de comandes en línia han caigut, i l’empresa no ha revelat la causa dels problemes.

BleepingComputer s’ha assabentat ara que les interrupcions són causades per un ciberatac que es va produir dijous al matí a primera hora, i els empleats van trobar de sobte notes de rescat creades als seus dispositius.

La nota de rescat, vista per BleepingComputer, està associada amb l’operació de programari de segrest SafePay, que s’ha convertit en una de les operacions més actives el 2025. No ha quedat clar si els dispositius es van xifrar realment durant l’atac.

Cal tenir en compte que, tot i que la nota de rescat afirma haver robat una gran varietat d’informació, aquest és un llenguatge genèric que es fa servir en totes les notes de rescat de SafePay i pot ser que no sigui cert per a l’atac d’Ingram Micro.

Les fonts han dit a BleepingComputer que es creu que els actors de l’amenaça van obtenir primer accés a la xarxa d’Ingram Micro a través de la plataforma VPN GlobalProtect de l’empresa, probablement utilitzant credencials compromeses.

Un cop es va descobrir l’atac, es va dir als empleats d’algunes ubicacions que treballessin des de casa. L’empresa també va tancar els sistemes interns, i va dir als empleats que no fessin servir l’accés VPN GlobalProtect de l’empresa, que es deia que es va veure afectat per la interrupció informàtica.

Els sistemes que es veuen afectats en moltes ubicacions inclouen la plataforma de distribució Xvantage, impulsada per IA, de l’empresa i la plataforma de subministrament de llicències Impulse. Tanmateix, a BleepingComputer se li va dir que altres serveis interns, com ara Microsoft 365, Teams i SharePoint, continuen funcionant com de costum.

Fins ahir, Ingram Micro no havia revelat l’atac públicament ni als seus empleats, només va indicar que hi ha problemes informàtics en curs, tal com indiquen els avisos de tota l’empresa compartits amb BleepingComputer.

La banda de programari de segrest SafePay és una operació relativament nova que es va veure per primera vegada el novembre de 2024, i que ha acumulat més de 220 víctimes des d’aleshores.

Anteriorment, s’havia observat que l’operació de programari de segrest violava les xarxes corporatives mitjançant passarel·les VPN mitjançant l’ús de credencials compromeses i atacs d’esprai de contrasenya.

BleepingComputer va contactar amb Ingram Micro ahir, i ha contactat una altra vegada avui, sobre les interrupcions i l’atac de programari de segrest, però no va rebre resposta als nostres correus electrònics.

Actualització 7/6/25: En un breu anunci de diumenge al matí, Ingram Micro ha confirmat que van patir un atac de programari de segrest.

«Ingram Micro va identificar recentment el programari de segrest en alguns dels seus sistemes interns», diu la declaració d’Ingram Micro.

«De seguida després de conèixer el problema, l’empresa va prendre mesures per protegir l’entorn rellevant, inclosa la retirada proactiva de determinats sistemes fora de línia i la implementació d’altres mesures de mitigació. L’empresa també va iniciar una investigació amb l’ajuda dels experts principals en ciberseguretat i va notificar a les forces de seguretat.»

«Ingram Micro està treballant diligentment per restaurar els sistemes afectats perquè pugui processar i enviar comandes, i l’empresa demana disculpes per qualsevol interrupció que aquest problema estigui causant als seus clients, socis proveïdors i altres.»

Actualització 7/7/25: Palo Alto Networks comparteix la següent declaració amb BleepingComputer sobre els nostres informes que es creu que els actors de l’amenaça van tenir accés a través de la passarel·la VPN d’Ingram Micro.

«A Palo Alto Networks, la seguretat dels nostres clients és la nostra màxima prioritat. Som conscients d’un incident de ciberseguretat que afecta Ingram Micro i d’informes que mencionen la VPN GlobalProtect de Palo Alto Networks», va dir Palo Alto Networks a BleepingComptuer.

«Actualment estem investigant aquestes afirmacions. Els actors de l’amenaça intenten habitualment explotar les credencials robades o les configuracions incorrectes de la xarxa per accedir a través de passarel·les VPN.»

Actualització 08/07/25: En un comunicat de premsa actualitzat, Ingram Micro diu que han començat a reprendre els sistemes en línia.

«Avui hem fet un avenç important en la restauració del nostre negoci transaccional. Les comandes de subscripcions, incloses les renovacions i modificacions, estan disponibles a tot el món i s’estan processant de manera centralitzada a través de l’organització de suport d’Ingram Micro», diu el comunicat.

«A més, ara podem processar comandes rebudes per telèfon o correu electrònic des del Regne Unit, Alemanya, França, Itàlia, Espanya, Brasil, Índia, Xina, Portugal i països nòrdics. Encara hi ha algunes limitacions amb comandes de maquinari i altres tecnologies, que s’aclariran a mesura que es facin les comandes.»

«Per fer comandes de subscripció, els clients haurien de contactar Unified Support. Per a consultes generals, els clients han de contactar amb el seu representant de vendes.»

Les fonts també han dit a BleepingComputer que l’accés VPN s’ha restaurat en alguns països.

Palo Alto Networks també ha confirmat que els seus productes no van ser explotats ni piratejats com a part de la violació.

«Palo Alto Networks pot confirmar que cap dels nostres productes va ser l’origen de la vulnerabilitat o afectat per la violació», va dir Palo Alto Networks a BleepingComputer.