Ransomware-Angriff auf Ingram Micro – Systeme stehen vorerst still

Seit Donnerstag vergangener Woche stehen die Bestellsysteme still bei Ingram Micro. Der Broadliner hat Cybersecurity-Experten eingeschaltet und arbeitet mit Hochdruck an der Wiederherstellung seiner Plattformen. Partner kritisieren die Kommunikation, sorgen sich um ihre Bestellungen. Einige wollen "Plan B" umsetzen, sollte Ingram Micro zu lange handlungsunfähig bleiben.

Der Distributionsriese Ingram Micro wurde laut einem Bericht von Bleeping Computer von einem Ransomware-Angriff der SafePay-Ransomware-Organisation getroffen. Die Website und die Online-Bestellsysteme von Ingram Micro sind laut Bleeping Computer seit Donnerstag nicht mehr erreichbar. Zu den betroffenen Systemen gehören laut Bleeping Computer die viel gepriesene KI-gestützte Xvantage-Plattform von Ingram und die Lizenzbereitstellungsplattform.

CRN USA hat Ingram Micro um eine Stellungnahme gebeten, aber bis zum Redaktionsschluss keine Antwort erhalten. Partner teilten CRN mit, dass sie "äußerst besorgt" seien. Der Ransomware-Angriff könnte noch einige Zeit andauern. Bis die Systeme wieder laufen würden alternative Bezugsquellen für Produkte erwogen.

"Das ist unser schlimmster Albtraum, der wahr geworden ist", sagte der CEO eines Partner-Unternehmens, der sich an Ingram Micro gewandt, aber noch keine Rückmeldung zum Ausmaß der Störung erhalten habe. "Wenn wir keine Bestellungen aufgeben oder Angebote einholen können, kommt unser Geschäft zum Erliegen. Wir sind äußerst besorgt, dass dies noch einige Zeit andauern könnte, und haben uns an Ingram gewandt. Die mangelnde Kommunikation seitens Ingram verstärkt unsere Besorgnis. Wir denken derzeit über Optionen nach und haben TD Synnex um Hilfe bei der Bearbeitung von Bestellungen gebeten, falls dies länger andauern sollte."

Besucher der Website von Ingram Micro wurden zunächst mit folgender Meldung konfrontiert: "Wartungsarbeiten: Derzeit treten technische Probleme auf. Wir entschuldigen uns für die Unannehmlichkeiten und arbeiten daran, das Problem so schnell wie möglich zu beheben. Bei Fragen wenden Sie sich bitte an uns." Die Wartungsmeldung verweist Besucher auf die Telefonnummern der Unternehmenszentralen im Osten und Westen der USA.

Ingram Micro hat Cybersicherheitsexperten eingeschaltet

Am Sonntagmorgen informierte Ingram Micro auf seiner US-Webseite über den Cybervorfall und verlinkt auf ein Statement: "Ingram Micro hat kürzlich Ransomware auf bestimmten internen Systemen entdeckt. Unmittelbar nach Bekanntwerden des Problems hat das Unternehmen Maßnahmen zur Sicherung der betroffenen Umgebung ergriffen, darunter die proaktive Abschaltung bestimmter Systeme und die Umsetzung weiterer Maßnahmen zur Schadensbegrenzung. Das Unternehmen hat außerdem mit Unterstützung führender Cybersicherheitsexperten eine Untersuchung eingeleitet und die Strafverfolgungsbehörden informiert. Ingram Micro arbeitet mit Hochdruck daran, die betroffenen Systeme wiederherzustellen, damit Bestellungen bearbeitet und versandt werden können, und entschuldigt sich für die Unannehmlichkeiten, die dieses Problem seinen Kunden, Lieferantenpartnern und anderen verursacht".

Partner kritisieren Kommunikation

Mehrere Partner kritisierten gegenüber CRN die mangelnde Kommunikation seitens Ingram. Der Hackerangriff beunruhige sie zutiefst, da sie befürchten, die Situation könnte noch einige Zeit andauern.

Laut Bleeping Computer sind die Website und die Online-Bestellsysteme von Ingram Micro seit Donnerstag nicht mehr erreichbar. Zu den betroffenen Systemen gehören laut Bleeping Computer die AI-gestützte Xvantage-Plattform, das Flaggschiff von Ingram, und die Impulse-Lizenzbereitstellungsplattform. Als CRN am Sonntag Kontakt aufnahm, um zu bestätigen, dass Xvantage ausgefallen war und Bestellungen nicht versandt werden konnten, verwies Ingram auf seine offizielle Stellungnahme.

Für Partner wie Stanley Louissaint, Gründer und Geschäftsführer des in New Jersey ansässigen MSP Fluid Designs, war jedoch das Schweigen des Unternehmens das größere Problem. "Das größte Problem in dieser Situation ist nicht einmal der Angriff selbst", sagte Louissaint gegenüber CRN. "Es ist der Mangel an Offenheit und Kommunikation. Das ist es, was das Vertrauen in eine Distributor-Partner-Beziehung vollständig zerstört."

Er sagte, seine letzte Mitteilung von Ingram sei eine Werbe-E-Mail vom 26. Juni gewesen. Seitdem habe er trotz offener Bestellungen und aktiver Geschäfte mit dem Distributor keine einzige Aktualisierung erhalten. "Ich hatte einige offene Bestellungen zu bearbeiten, und dann ist die Website einfach ausgefallen", sagte er. "Keine Informationen zur Auftragsabwicklung, kein Systemzugang ... nichts. Der Rückstand ist offensichtlich."

Obwohl sein Unternehmen dank diversifizierter Beschaffung von anderen Distributoren nicht kritisch betroffen war, äußerte er sich besorgt über Unternehmen, die ausschließlich auf Ingram angewiesen sind. "Es gibt Unternehmen, die völlig feststecken. Sie können nicht liefern, keine Bestellungen ausführen, nicht arbeiten", sagte er. "Deshalb setzen wir nie alles auf eine Karte."

Er stellte auch Fragen zur Vorbereitung und Reaktionsstrategie von Ingram. "Was war Ihr Notfallplan? Wie sieht Ihr Notfallwiederherstellungsprozess aus? Wurde er getestet? Offensichtlich ist etwas schiefgelaufen", spekuliert er. "Zahlen Sie das Lösegeld? Oder nicht? Die Leute wollen Transparenz".

Nächste Seite: "Plan B"; wie die US-Börse reagiert, Zeitpunkt des Cyberangriffs kein Zufall

"Plan B", falls Ingram Micro länger ausfällt

Der CEO eines anderen Lösungsanbieters, der nicht genannt werden wollte, sagte, dass Ingram bestätigt habe, derzeit keine Bestellungen ausliefern zu können. Sein Unternehmen arbeite aktiv an einem "Plan B", um sicherzustellen, dass seine Kunden nicht von Lieferverzögerungen betroffen werden.

"Unsere oberste Priorität ist es, unsere Lieferverpflichtungen gegenüber unseren Kunden zu erfüllen", so der CEO. "Wir haben auch eine Verpflichtung gegenüber unseren OEMs, damit wir Einnahmen erzielen können. Wir wenden uns derzeit an unsere größeren OEMs und TD Synnex, um sicherzustellen, dass unsere Kunden versorgt werden, falls sich das Problem nicht schnell lösen lässt. Wir müssen sicherstellen, dass wir den Versandstatus und den Zeitplan verstehen. Wenn das Problem bis kommenden Mittwoch nicht gelöst ist, müssen wir unser Geschäft verlagern."

Während viele Partner ihre Frustration und Besorgnis zum Ausdruck bringen, ist James Rocker, dessen in New York ansässiges Unternehmen ein Trust X Alliance-Partner von Ingram ist, zuversichtlich, dass der Distributor den Angriff so gut wie möglich bewältigt.

"Zum jetzigen Zeitpunkt hat Ingram Micro aus Respekt vor der Situation und dem Ermittlungsverfahren noch keine offizielle Stellungnahme abgegeben", sagte er CRN per SMS. "Wir halten es für wichtig, dass das Team alle Fakten sammelt, bevor es Schlussfolgerungen zieht und öffentliche Kommentare abgibt. Cyber-Bedrohungen sind eine sich ständig weiterentwickelnde und anhaltende Herausforderung für den gesamten Channel. Dieses Ereignis erinnert uns daran, dass selbst die am besten vorbereiteten Unternehmen nicht immun sind."

Rocker, Gründer und CEO von MSP Nerds That Care mit Sitz in Hauppauge, New York, bleibt optimistisch und sagt, er habe Vertrauen in Ingrams "Transparenz, Reaktionsmaßnahmen und Engagement, um Störungen für Partner und Kunden so gering wie möglich zu halten".

Es sei "von entscheidender Bedeutung", so Rocker, dass wir als Branche die Messlatte für Cybersicherheit weiter höher legen, Informationen austauschen und uns gegenseitig bei Vorfällen wie diesem unterstützen. Wir vertrauen darauf, dass Ingram Micro die notwendigen Schritte unternimmt, um den Vorfall gründlich zu untersuchen und zu gegebener Zeit darüber informieren wird. Bis dahin werden wir die Situation genau beobachten und uns weiterhin darauf konzentrieren, die Sicherheit unserer Kunden und Partner zu gewährleisten."

Börse: Wegen Feiertag keine Reaktion

An der Börse reagierten die Papiere am vergangenen Donnertag nicht auf den Stillstand der Geschäfte von Ingram Micro. Die Aktie des Distributors beendete den Handel an der Wall Street sogar leicht im Plus und schloss bei 21,84 US-Dollar. Am Freitag blieben die US-Börsen wegen des Unabhängigkeitstags geschlossen. Möglicherweise zogen die Cyberangreifer diesen Feiertag mit in ihr Kalkül, am Vortag des Feiertags zuzuschlagen, wenn viele Mitarbeiter schon am Donnerstagnachmittag ins verlängerte Wochenende gegangen waren.

Typischerweise fallen Cyberangriffe oft auf Feiertage und Ferien, wenn viel IT-Personal im Urlaub ist. Freitag nach 15 Uhr ist ein besonders kritischer Zeitpunkt für Unternehmen. In diesem Fall war es wegen des Feiertags in den USA der Nachmittag des Vortags, an dem Ingram Micro von diesem schweren Cyberangriff getroffen wurde.

Der Artikel erschien zuerst bei unserer Schwesterpublikation crn.com.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden