Ransomware támadás bénította meg az Ingram Microt

Titkosítás, biztonság, privát szféra

Az Ingram Micro globális IT-disztribútort július elején zsarolóvírus támadás érte, amely súlyos fennakadásokat okozott az Xvantage és Impulse platformjaik működésében. A vállalat hivatalos közleményben erősítette meg az incidenst, és közölte, hogy az érintett belső rendszereket azonnal lekapcsolták.

A BleepingComputer szerint a támadás mögött a SafePay nevű ransomware-csoport áll, amely valószínűleg a GlobalProtect VPN-t használta bejutásra. A leállás következtében több ügyfél és partner is késéseket tapasztalt a rendelések feldolgozásában, miközben a cég IT-szakértőkkel dolgozik a helyreállításon.

A vizsgálat jelenleg is tart, az Ingram Micro pedig a hatóságokkal együttműködésben igyekszik csökkenteni az ellátási láncra gyakorolt hatást.

(A cikk nyomokban Mesterséges Intelligencia által szolgáltatott adatokat tartalmaz, így a tartalmát érdemes duplán ellenőrizni!)

( trey | 2025. 07. 08., k – 10:25 )

Na, a hazai operációjuk is rottyon van. Kereskedő kolléga szerint csütörtökön kezdődött a probléma, semmit sem tudnak rendelni tőlük, ma már ki van írva az oldalukra is (ha megy, ami jelenleg nem megy). 

trey @ gépház

( zrubi v | 2025. 07. 08., k – 11:00 )

Azt nem tudom, hogy ilyenkor:

- sajnálni kell őket, hogy jajj szegényeket megtámadták a 'gonoszok'?

- vagy röhögjek rajtuk, hogy hát, így jár aki szarik az IT security-ra?

 

Mert az egyetlen esély arra hogy ne ők maguk legyenek a felelősek, ha az a bizonyos VPN-en keresztüli 'bejutás' egy zero day-en kersztül történt.

(Persze akkor is fennmarad a kérdés, hogy ez miért jelent egyből adatokhoz való írás jogot is ;)

zrubi.hu

Persze akkor is fennmarad a kérdés, hogy ez miért jelent egyből adatokhoz való írás jogot is 

Nem tudhatod h. a betörés mikor és hogyan kezdődött. Lehet h. már hónapokkal korábban, és az a 0-day csak az utolsó lépés volt a bejutáshoz, a további adatokat már korábban megszerezték.

Nehéz kérdés, mert üzemeltetőként te azt üzemelteted, amire a tulajdonos költ. Tehát hiába akarnál te törekedni arra, hogy támogatott eszközökkel dolgozzál, ha a tulaj szerint az hülyeség, hiszen az unsupported is éppen úgy megy még. Nem? 

Erre mit lehet mondani? Az ő adata, az ő dolga. Az üzemeltetés a legjobb tudása és lehetőségei szerint üzemeltet, aztán lesz ami lesz. Lényeg, hogy legyen dokumentálva a hiányosság, hogy a végén kié a felelősség. 

trey @ gépház

> Erre mit lehet mondani? Az ő adata, az ő dolga.

Hat attol fugg, hogy mekkora a problema. A lepcsok amiket en latok, hogy emailben szolunk, aztan papiron is alairatjuk, hogy mi szoltunk es ha nagyon gaz a sztori akkor meg lehet mondani, hogy bocs de keress mast aki uzemelteti ezt a tragyadombot, mert a mi hirnevunk fontosabb annal, hogy valami osregi in the wild remote root expoittal meghackeljenek es aztan valaki meg akar veletlenul is rank mutasson.

Pontosan ezeket a lépcsőket követjük mi is. Semmi újat nem mondtál. Basztunk ki már ügyfelet, akivel lehetetlen volt együttműködni. Az utolsó részt nem nagyon értem. 

valami osregi in the wild remote root expoittal meghackeljenek es aztan valaki meg akar veletlenul is rank mutasson.

Ha az első három lépés megvolt (azonosítva a felelős és papíron is dokumentálva), akkor maximum egy balfasz mutogat rátok, bár, hogy a balfaszok mit mondanak, az a kutyát nem érdekli. Ilyenkor irány a bíróság, majd az dönt. Nyilván nem annak a javára, aki elmulasztotta a szerződésben foglalt kötelezettségét (az üzemeltető iránymutatásai szerinti kritikus fejlesztések elvégzése). Mert ugye ez a kitétel a ti szerződéseitekben is szerepel ... Nem?

trey @ gépház

> Erre mit lehet mondani? Az ő adata, az ő dolga.
Erre reagaltam csak.

> Az utolsó részt nem nagyon értem.

Hat kicsit olyan ez mint a sardobalas. Jobb ha nem vagy celpont. Jobb ha nem kell magyarazkodni, meg akkor se, ha van rola papirod, hogy faszsagot beszel egy balfasz.

Erre mit lehet mondani? Az ő adata, az ő dolga.

Továbbra is áll. Ha egy a száz ügyfélből beleszarik a saját adatai védelmébe, akkor rossz esetben majd lehúzza a rolót. Az üzemeltető meg, ha volt papírja róla, hogy ő előre szólt, megvonja a vállát, ásít és megkérdezi: iszunk egy kávét? Szerinted ki bukik rajta? Azt szoktam ilyenkor mondani: - Hát, ha a tulajnak ennyire nem fontos a saját adatainak védelme, akkor nekem se.

Hat kicsit olyan ez mint a sardobalas. Jobb ha nem vagy celpont. Jobb ha nem kell magyarazkodni, meg akkor se, ha van rola papirod, hogy faszsagot beszel egy balfasz.

Van olyan helyzet, hogy nincs választásod. A van róla papírod 10-ből 10-szer megvéd. 

trey @ gépház

Én röhögni szoktam a magam részéről.

Nekem tök alapnak hangzik, hogy minden csak VPN-en keresztül elérhető, de ezeket is úgy implementálod, mintha elérhetőek lennének az internet felől. Plusz attól, hogy a VPN-en belülre jutsz, még nem kéne tudnod hozzáférni csak úgy kritikus rendszerekhez.

 vagy röhögjek rajtuk, hogy hát, így jár aki szarik az IT security-ra?

Akkor most visszajutunk oda, hogy minden sor kódot nézzen át maga a vállalkozás, természetesen csak Linuxot és opensource szoftvereket használjon a saját fejlesztései mellett, amiket alaposan letesztelt! 

Egyszerűen nem reális ez a megoldás, legfeljebb Google méretben. 

A GlobalProtect egy hivatalos elvileg professzionális VPN szolgáltató. Sokan használják. Fizetnek érte évente/havonta. És igen egyik korábbi munkahelyemen felvetettem, hogy problémák lehetnek a GlobalProtect-tel, miután fél és alatt sem sikerült életre kelteniük az saját Android kliensüket. "Használjatok iPhonet, azon működik!" Szerintem meg nem uralják még a saját kódjukat sem a GlobalProtect-nél. Ez egy VPN szolgáltatónál szerintem több mint kockázatos hozzáállás. 

Megcsináltam volna OpenVPN alapon az új saját VPN-t még otp elem is volt benne, de hát elhalt a kezdeményezés a management útvesztőiben. De megértettem őket mégha nem is értettem egyet velük. A GlobalProtect régi partner volt, valami kedvezményt is kaptak már a sok év után. Az Android kliens működésképtelensége pedig kevés kollégát érintett. A többség csak PC-n dolgozott. 

Azt semmiképpen sem állítanám, hogy szarik az IT security-re az, aki egy hivatalos és előfizetéses VPN szolgáltatást használ egy ismert cégtől. 

Viszont így utólag igazolva érzem magam. Az a szoftverfejlesztő, aki képtelen egy ilyen apró problémát orvosolni mint az Android kliensük megjavítása, az rossz kódminőségre utaló jel, ahol sokkal súlyosabb problémák is előfordulhatnak. Bizony jobb megszabadulni az ilyenektől mint a GlobalProtect és vagy más VPN szolgáltatót keresni, vagy opensource megoldásra áttérni ha megvan házon belül a szakértelem. 

( KGer | 2025. 07. 08., k – 13:00 )

a rendes backup/restore ezt nem védi ki?

Ilyenkor nem egész rendszereket állít vissza az ember, hanem újrahúz mindent 0-ról (vas, firmware-ek, AD, op. rendszerek, hálózat stb.), csak az adatokat teszi vissza szalagról. Csináltál már ilyet? Mert kb. úgy néz ki, hogy elméleti vagy a témában.

Kérdésed megelőzendő: igen, mi már vakartunk ki céget kriptóból #worksforus 

trey @ gépház