Thought Leadership
Der IT-Distributor Ingram Micro kämpft seit Donnerstag mit Ausfällen – Angreifer sollen über VPN-Gateway eingedrungen sein.
Der IT-Großhändler Ingram Micro kämpft seit Donnerstag mit einem weitreichenden Systemausfall, der nach Informationen von BleepingComputer auf einen Angriff mit SafePay-Ransomware zurückzuführen ist. Das Unternehmen, das zu den weltgrößten B2B-Technologiedistributoren gehört und als Zwischenhändler Hardware, Software und Cloud-Services an Reseller und IT-Dienstleister verkauft, musste daraufhin seine internen Systeme herunterfahren.
Ransomware-Notizen auf Mitarbeiter-Geräten entdeckt
Seit dem frühen Donnerstagmorgen sind die Website und die Online-Bestellsysteme von Ingram Micro nicht erreichbar. Zunächst hatte das Unternehmen die Ursache der Probleme nicht kommuniziert. Wie BleepingComputer nun berichtet, entdeckten Mitarbeiter plötzlich Lösegeldforderungen auf ihren Arbeitsplätzen.
Die Erpressernachricht stammt von der SafePay-Ransomware-Gruppe, die sich 2025 zu einer der aktivsten Operationen entwickelt hat. Seit ihrem ersten Auftreten im November 2024 hat die Gruppe bereits über 220 Opfer für sich reklamiert. Ob tatsächlich Daten verschlüsselt wurden, ist bislang unklar.
Verdacht auf Angriff über VPN-Gateway
Ersten Erkenntnissen zufolge sollen die Angreifer laut BleepingComputer über die GlobalProtect-VPN-Plattform von Ingram Micro in das Unternehmensnetzwerk eingedrungen sein. Diese Angriffsweise entspricht dem bekannten Vorgehen der SafePay-Gruppe, die bereits in der Vergangenheit VPN-Gateways mit kompromittierten Zugangsdaten und Password-Spray-Attacken ins Visier genommen hat.
Nach der Entdeckung des Angriffs wurden Mitarbeiter an einigen Standorten angewiesen, von zu Hause zu arbeiten. Das Unternehmen schaltete präventiv interne Systeme ab und untersagte die Nutzung der GlobalProtect-VPN-Verbindung.
Zentrale Distributionsplattformen betroffen
Besonders betroffen sind die KI-gestützte Xvantage-Distributionsplattform und die Impulse-Lizenzierungsplattform des Unternehmens, wie BleepingComputer von Insidern erfahren hat. Diese Systeme sind für den Geschäftsbetrieb von Ingram Micro von zentraler Bedeutung, da über sie die Bestellungen und Lieferungen der Partnerunternehmen abgewickelt werden. Andere interne Dienste wie Microsoft 365, Teams und SharePoint sollen hingegen weiterhin funktionieren.
Unternehmen bestätigt Vorfall
Zunächst hatte Ingram Micro den Vorfall weder öffentlich noch gegenüber der Belegschaft als Cyberangriff eingestuft und lediglich von “laufenden IT-Problemen” gesprochen. Am Sonntagmorgen bestätigte das Unternehmen dann den Ransomware-Angriff:
“Ingram Micro hat kürzlich Ransomware in einigen seiner internen Systeme identifiziert”, heißt es in der Erklärung. “Unmittelbar nach Bekanntwerden des Problems hat das Unternehmen Schritte unternommen, um die betreffende Umgebung zu sichern, einschließlich der proaktiven Abschaltung bestimmter Systeme und der Implementierung anderer Schadensbegrenzungsmaßnahmen.”
Das Unternehmen arbeite intensiv daran, die betroffenen Systeme wiederherzustellen, um Bestellungen bearbeiten und versenden zu können. Man entschuldige sich für alle Störungen, die den Kunden, Vertriebspartnern und anderen entstehen.
Ingram Micro hat nach eigenen Angaben eine Untersuchung mit führenden Cybersicherheitsexperten eingeleitet und die Strafverfolgungsbehörden informiert.
