Partner von Ingram Micro äußern sich "besorgt" über möglichen Datendiebstahl durch SafePay

Nach dem Hackerangriff auf Ingram Mico erpressen die Hintermänner der Ransomware-Bande SafePay den Distributor nun offenbar mit der Veröffentlichung von 3,5 Terabyte internen Daten. Lösungsanbieter äußern gegenüber CRN die Befürchtung, dass davon vertrauliche Daten ihres Unternehmens oder ihrer Kunden betroffen sein könnten.

Auch wenn Ingram Micro nach dem schweren Hackerangriff innerhalb weniger Tage wieder den Regelbetrieb aufnehmen konnte, sind die Folgen damit noch nicht ausgestanden. Denn wie bei solchen Angriffen heute üblich, setzen die Cyberkriminellen gleich mehrere Hebel an. Nach dem direkten Angriff folgt meist noch eine Erpressung mit dabei erbeuteten Daten, bevor diese in einem dritten Schritt teilweise noch für weitere Angriffe genutzt werden. Man spricht deshalb von einer "triple extortion", also einer dreifachen Erpressung.

Bei Ingram Micro haben die Angreifer, bei denen es sich um die SafePay-Gruppe handeln soll, in der vergangenen Woche offenbar die zweite Stufe eingeleitet. Dementsprechend besorgt zeigen sich Partner von Ingram Micro gegenüber CRN. Sie befürchten, dass vertrauliche Daten ihrer Unternehmen oder ihrer Kunden von der SafePay Ransomware-Organisation veröffentlicht oder anderweitig missbraucht werden könnten.

Angeblich 3,5 Terabyte Daten gestohlen

Cyberdaily.au und BleepingComputer berichten, dass SafePay am 30. Juli den Ransomware-Angriff auf Ingram Micro für sich reklamierte und den Distributor in die Liste seiner angeblichen Opfer aufnahm. Dabei gab SafePay an, 3,5 Terabyte an Daten von Ingram Micro gestohlen zu haben und drohte damit, diese innerhalb von drei Tagen zu veröffentlichen, so Cyberdaily.au.

"Dies ist höchst besorgniserregend", äußerst sich der CEO eines Solution Provider 500-Unternehmens, der nicht genannt werden will. "Denken Sie an all die vertraulichen Daten, interne Daten von VARs wie uns und Kundendaten, Finanzdaten, all das. Ich werde mich sofort mit Ingram in Verbindung setzen, um zu sehen, ob ich irgendwelche Informationen darüber bekommen kann. Ich bin überrascht, dass wir noch keine Anrufe von unseren Kunden erhalten haben, die sich Sorgen machen, dass ihre Daten gefährdet sein könnten." Zudem hat sich CRN auch direkt an Ingram Micro gewandt, bis Redaktionsschluss aber noch keine Antwort erhalten.

BleepingComputer hatte am 5. Juli berichtet, dass Ingram Micro von SafePay mit einer Ransomware-Attacke angegriffen worden war. Ingram Micro bestätigte den Ransomware-Angriff in einer Erklärung später am Tag, nannte aber nicht den Namen des Angreifers. Der 48-Milliarden-Dollar-Distributor gab zuletzt am 9. Juli bekannt, dass die Ransomware-Attacke in allen Ländern und Regionen, in denen das Unternehmen tätig ist, operativ war.

Partner bemängeln fehlende Kommunikation von Ingram Micro

Führungskräfte von Lösungsanbietern kritisierten gegenüber CRN, dass Ingram Micro nicht genug über den Angriff und seine Auswirkungen kommuniziert hat. Das veranlasst viele zu der Vermutung, dass das Unternehmen seine öffentlichen Kommentare auf Anraten seines Rechtsbeistands oder seiner Versicherung einschränkt.

"Ich brauche Informationen", fordert der Solution Provider 500 CEO. "Es ist äußerst besorgniserregend, dass es dazu keinerlei Kommunikation gibt. Wir fühlen uns dadurch bloßgestellt." Ferner erklärt er, wenn es "schlechte Nachrichten" bezüglich des Ransomware-Angriffs und des angeblichen Datendiebstahls gäbe, würde er es vorziehen, diese direkt von Ingram Micro zu erfahren. "Im Moment wissen wir nichts, also nehmen wir das Schlimmste an", so der CEO weiter.

Der CEO eines anderen Solution Provider 500-Unternehmens, der ebenfalls nicht genannt werden will, zeigt sich gegenüber CRN ebenfalls "äußerst besorgt", dass die Daten seines Unternehmens oder seiner Kunden als Folge des Ransomware-Angriffs von Ingram Micro im Dark Web veröffentlicht werden könnten. "Wir müssen wissen, wie der aktuelle Stand in der Sache ist", fordert der Chef des Lösungsanbieters. "Wir alle in der Ingram-Partner-Community sind darüber besorgt."

Die Erpresser von SafePay

Danny Jenkins, CEO von ThreatLocker, einem der führenden Anbieter von MSP-Sicherheitssoftware, erklärt, er habe keine konkreten Kenntnisse über die Situation bei Ingram Micro, halte es aber für wahrscheinlich, dass SafePay versuche, mit Ingram Micro zu verhandeln. Darüber hinaus sagt Jenkins, dass es bislang keinen Hinweis darauf gibt, welche Art von Daten SafePay von Ingram Micro erhalten haben könnte. "Wir wissen nicht, ob irgendwelche Kunden- oder Partnerdaten in diese Situation involviert sind", sagte er. "Sie könnten auch nur eine Reihe von Marketingdaten genommen haben, die bereits öffentlich zugänglich sind".

Nachforschungen von ThreatLocker zeigen, dass SafePay eine relativ kleine Ransomware-Organisation ist, die erst im Jahr 2024 auftauchte und von den Opfern verlangt, für die "Entschlüsselung von Daten und die Verhinderung der Veröffentlichung" zu bezahlen, wobei "erheblicher Druck" auf die Verhandlungen ausgeübt und "persönliche Telefonanrufe" getätigt werden, um die Zahlung zu erzwingen.

Laut Jenkins verfolgt Safepay eher einen "opportunistischen" als einen "gezielten" Ansatz, um bestimmte Unternehmen auszuspionieren. Er sagte, dass die Ransomware-Gruppe Daten mit Hilfe von allgemein verfügbaren Microsoft Windows-Tools, einschließlich Rclone, exfiltriert. "Es gibt Hinweise darauf, dass diese Gruppe Rclone sehr intensiv genutzt hat", erklärt er.

Jenkins rät jedem Unternehmen, das von einem Ransomware-Angriff betroffen ist: "Die Zahlung sollte Ihr absolut letzter Ausweg sein. Diese Leute sind nicht gerade das, was man gute Menschen nennt. Ich würde lieber 1 Million Dollar zahlen, um meine Systeme wiederherzustellen, als 100.000 Dollar an eine kriminelle Organisation, damit sie die Daten nicht öffentlich zugänglich macht."

Dieser Text erschien zuerst auf unserer Schwesterseite crn.com.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden