Nei giorni scorsi Ingram Micro, uno dei più grandi distributori mondiali di tecnologia, è stato vittima di un grave attacco ransomware che sta tuttora paralizzando i suoi sistemi, generando un impatto rilevante su clienti, fornitori e sull’intera filiera IT globale. L’incidente, che ha avuto origine il 3 luglio, ha messo in luce la vulnerabilità anche delle organizzazioni più strutturate e ha sollevato interrogativi sulla sicurezza delle infrastrutture digitali che sostengono il mercato tecnologico internazionale.

I primi segnali di allarme sono arrivati quando numerosi clienti commercialim tra cui rivenditori e Managed Service Provider, hanno segnalato l’impossibilità di effettuare ordini e la totale indisponibilità delle linee telefoniche e dei portali di servizio. Inizialmente, Ingram Micro ha attribuito il blackout a “difficoltà tecniche”, lasciando però i clienti e i partner nell’incertezza per oltre 14 ore, senza fornire dettagli sulla natura del problema. Questa mancanza di comunicazione ha generato frustrazione e speculazioni, con molti utenti che sui social media hanno ipotizzato un attacco informatico.

Solo successivamente, la società ha confermato pubblicamente di essere stata colpita da un ransomware, dichiarando di aver identificato il malware su alcuni sistemi interni e di aver immediatamente adottato misure di contenimento, tra cui la disconnessione proattiva di diversi servizi e l’avvio di un’indagine con il supporto di esperti di cybersecurity e delle forze dell’ordine.

Le conseguenze operative dell’attacco sono state immediate e significative:

  • Impossibilità di processare ordini di prodotti fisici: i clienti non hanno potuto acquistare hardware, software o servizi cloud tramite i portali online di Ingram Micro
  • Gestione licenze bloccata: la società non è stata in grado di amministrare licenze Microsoft 365 e Dropbox, servizi fondamentali per numerosi MSP e aziende clienti
  • Interruzione dei servizi in outsourcing: il centro servizi bulgaro, responsabile di una parte considerevole delle vendite europee, è stato chiuso e il personale invitato a non connettere i laptop aziendali, segno della gravità della compromissione

Ingram Micro ransomware

Considerando che Ingram Micro gestisce centinaia di milioni di dollari di vendite ogni giorno e ha generato 48 miliardi di dollari di ricavi nell’ultimo anno fiscale, anche un’interruzione di poche ore rappresenta un danno economico e reputazionale di vasta portata.

La responsabilità dell’attacco è stata rivendicata dal gruppo ransomware SafePay, uno degli attori più attivi nel panorama del cybercrime nel 2025. In una nota di riscatto, SafePay ha dichiarato di aver sfruttato “una serie di errori nella configurazione della rete” di Ingram Micro, riuscendo così a penetrare nei sistemi aziendali e a rimanervi per un periodo prolungato senza essere scoperti. Il gruppo ha inoltre affermato di aver avuto accesso a informazioni sensibili, tra cui dati finanziari, proprietà intellettuale, documenti legali, dati bancari e file personali di clienti e dipendenti.

La nota minacciava la pubblicazione dei dati rubati e il blocco dei server, promettendo la decriptazione solo dopo il pagamento del riscatto. SafePay ha sottolineato che l’attacco non aveva motivazioni politiche, ma esclusivamente economiche, concedendo a Ingram Micro sette giorni per negoziare.

Secondo le prime ricostruzioni, l’ingresso nei sistemi di Ingram Micro potrebbe essere avvenuto tramite la piattaforma VPN GlobalProtect, sfruttando configurazioni errate o credenziali compromesse. SafePay è noto per prediligere l’uso di credenziali VPN o RDP rubate piuttosto che tecniche di phishing, il che suggerisce una particolare attenzione alla sicurezza degli accessi remoti da parte delle aziende che vogliono difendersi da questi attacchi. Gli esperti consigliano infatti di implementare l’autenticazione a più fattori, disabilitare gli accessi remoti inutilizzati e adottare whitelist di IP o geofencing per limitare i rischi.

Inutile dire come l’attacco a Ingram Micro rappresenti un campanello d’allarme per tutto il settore IT: nessuna organizzazione, per quanto grande e strutturata, può infatti considerarsi immune dal rischio cyber. L’episodio evidenzia anche l’importanza di investire in sicurezza informatica, aggiornare costantemente le configurazioni di rete e formare il personale sulle best practice di protezione. Infine, la gestione della comunicazione in caso di crisi si rivela cruciale, con la trasparenza e la tempestività nel fornire informazioni che possono mitigare il danno reputazionale e ristabilire la fiducia di clienti e partner.

(Immagine in apertura: Shutterstock)