ComputerBase Menü
Aktuelles

Ingram Micro wurde gebreached (SafePay)

DRAKO1337

DRAKO1337

Lieutenant
Registriert
Aug. 2011
Beiträge
517
Hallo zusammen,


falls ihr es noch nicht mitbekommen habt: Seit Donnerstag, 03. Juli 2025, sind Ingram Micro und alle zugehörigen Dienste aufgrund eines mutmaßlichen Ransomware-Angriffs komplett offline.

Wir haben daraufhin aus Vorsicht sämtliche GDAP-Beziehungen im Microsoft Partner Center/Admin Center sowohl für uns selbst als auch für unsere Endkunden entfernt. Hintergrund ist, dass aktuell völlig unklar ist, wie tief die Angreifer in den Ingram-Systemen stecken.

Wie geht ihr mit der Situation um? Habt ihr zusätzliche Maßnahmen ergriffen?

Quelle: Link

Ingram.jpg
 
  • Gefällt mir
Reaktionen: konkretor und DJMadMax
Backup aller Daten und plan eines Desaster recovery.

Ein Backup das online ist, ist kein Backup. Ich mag LTO-Bänder
 
wern001 schrieb:
Ein Backup das online ist, ist kein Backup.
Zum Vergrößern anklicken....
Da fehlt ein Wort: Ein Backup, das "nur" online ist... dann lasse ich diese sehr pauschale Aussage gelten :)

Ich bin am Montag gespannt, da werde ich mal mit unserem IT-Dienstleister sprechen, der u.A. bei Ingram Micro bezieht.
 
@DJMadMax jo simmt das nur fehlt.
Wenn ich ein verschlüsselungstrojaner wäre würde ich jede NAS verschlüssen
 
  • Gefällt mir
Reaktionen: DJMadMax
wern001 schrieb:
Backup aller Daten und plan eines Desaster recovery.

Ein Backup das online ist, ist kein Backup. Ich mag LTO-Bänder
Zum Vergrößern anklicken....
Wenn die Gerüchte stimmen aus der Reddit Bubble.

  • 100% Onpremise...
  • veralterate Appliances (Palo Alto) = Entry Point
  • alle Backup und Disaster Recovery Server/Failover Server verschlüsselt.
  • sind seit 8 Monaten in ihrer Infrastruktur drin

Mich wundert es nur, dass die keine "Shadow" Backup-Server in der Cloud hatten... nun stehen die seit Donnerstagabend und keiner weiß wie Tief die von SafePay drin sind..
 
  • Gefällt mir
Reaktionen: DJMadMax
erinnert mich irgendwie ein bisschen an den Heiße.de hack
 
  • Gefällt mir
Reaktionen: DRAKO1337
DJMadMax schrieb:
Da fehlt ein Wort: Ein Backup, das "nur" online ist... dann lasse ich diese sehr pauschale Aussage gelten :)

Ich bin am Montag gespannt, da werde ich mal mit unserem IT-Dienstleister sprechen, der u.A. bei Ingram Micro bezieht.
Zum Vergrößern anklicken....
Ich finde es wirklich sehr dreist, dass seit Freitag früh niemand abgehoben oder sich auf irgendeinem Weg weder per Telefon, E-Mail noch über LinkedIn gemeldet hat. Es hätte völlig ausgereicht, uns einfach kurz mitzuteilen, dass etwas vorgefallen ist und man aktuell daran arbeitet, eine Lösung zu finden. Ich weiß, dass solche Situationen schwierig sein können, aber ein kurzer Hinweis hätte wirklich niemandem geschadet.
 
  • Gefällt mir
Reaktionen: DJMadMax
DRAKO1337 schrieb:
  • 100% Onpremise...
  • veralterate Appliances (Palo Alto) = Entry Point
  • alle Backup und Disaster Recovery Server/Failover Server verschlüsselt.
  • sind seit 8 Monaten in ihrer Infrastruktur drin
Zum Vergrößern anklicken....
Wenn das stimmt: AUTSCH! ^^

DRAKO1337 schrieb:
Ich weiß, dass solche Situationen schwierig sein können, aber ein kurzer Hinweis hätte wirklich niemandem geschadet.
Zum Vergrößern anklicken....
Insbesondere im Sinne aller Kundschaft: 100% agree!
 
  • Gefällt mir
Reaktionen: DRAKO1337
Da bleibt einem nicht mehr viel übrig als neu zu installiern und alle datenbanken wiederherzustellen
 
@WeisheitsTroll Es geht nicht darum, ob ein Backup verschlüsselt ist, sondern ob der Zustand der Systeme in dem Backup unkompromittiert ist. Daher kann man nicht einfach die letzten Backups von VMs o.ä. einspielen. Meistens sind Angreifer aber schon eine längere Zeit im Netz des Angegriffenen unterewegs um sich nach und nach möglichst viele Rechte zu verschaffen, Daten abzuziehen und Backups zu sabotieren.

Du musst zuerst herausfinden, wie die Angreifer reingekommen sind. Und das weiss man eben anfangs nicht. Und dann muss man herausfinden, welche Systeme sie nach dem initialen Einbruch kompromittiert haben (laterale Bewegung). Oft werden wichtige Systeme neu aufgesetzt um wieder in die Gänge zu kommen, weil die Forensik meist relativ lange dauert. Oft finden sich schnell Spuren, aber du musst ja schließlich sicher sein, dass du alle Füße gefunden hast, die die Angreifer in der Tür haben.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DRAKO1337
DRAKO1337 schrieb:
Ich weiß, dass solche Situationen schwierig sein können, aber ein kurzer Hinweis hätte wirklich niemandem geschadet.
Zum Vergrößern anklicken....
Dann komm mal in die Situation, ich bin ja mal gespannt wie Du reagieren wirst.

CU
redjack
 
@redjack1000 Dort, wo ich arbeite, beraten wir gerade solche Unternehmen.
Sich wegzuducken und zu schweigen, ist auch falsch.
Ehrlichkeit zählt,sonst folgen nur Frust und Anklagen.

CU
DRAKO1337
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz