En un importante incidente de ciberseguridad que subrayó la amenaza persistente de los ataques de ransomware contra la infraestructura global de TI, Ingram Micro Holding Corporation restauró con éxito sus operaciones comerciales después de una batalla de cuatro días contra los actores maliciosos que se infiltraron en sus sistemas internos.
El ataque, identificado por primera vez el 5 de julio de 2025, representa uno de los incidentes de ransomware más notables que afectan a una importante compañía de distribución de tecnología este año, destacando la naturaleza sofisticada de las amenazas cibernéticas modernas dirigidas a la infraestructura crítica de la cadena de suministro.
El ataque de ransomware surgió a través de vectores de ataque no revelados, aunque la rápida identificación y contención sugieren que el malware puede haber activado sistemas de detección automatizados o mostró comportamientos característicos consistentes con las familias de ransomware conocidas.
Tras el descubrimiento, el malware ya había comenzado a encriptar archivos en ciertos sistemas internos, lo que llevó a Ingram Micro a implementar protocolos de contención inmediatos.
La respuesta rápida de la Compañía incluyó a los sistemas afectados fuera de línea, evitando el movimiento lateral y el cifrado de datos adicional en la infraestructura de la red.
El impacto del incidente se extendió más allá de la mera interrupción del sistema, afectando las operaciones globales de la compañía y potencialmente millones de clientes aguas abajo que dependen de los servicios de distribución de Ingram Micro.
El ataque dirigió a los sistemas internos cruciales para el procesamiento de pedidos, la gestión de inventario y las funciones de relación con el cliente, lo que demuestra el enfoque estratégico del malware en la infraestructura crítica de negocios.
Micro analistas de Ingram identificado Los patrones de comportamiento del ransomware durante la fase de investigación inicial, señalando sus intentos de establecer mecanismos de persistencia y evadir la detección a través de técnicas de hueco de procesos.
Mecanismo de infección y tácticas de persistencia
El mecanismo de infección del ransomware exhibió capacidades de evasión sofisticadas, utilizando procesos legítimos del sistema para enmascarar sus actividades maliciosas.
Los investigadores de seguridad observaron el malware que empleó técnicas de carga lateral de DLL, donde reemplazó las bibliotecas de enlaces dinámicos legítimos con versiones maliciosas que contienen rutinas de cifrado.
El mecanismo de persistencia se basó en las modificaciones del registro y la creación de tareas programadas, asegurando que el malware pueda sobrevivir a los reinicios del sistema y continuar sus operaciones de cifrado.
# Ejemplo de registro Mecanismo de persistencia observado nuevo itemproperty -path “HKLM: \ Software \ Microsoft \ Windows \ CurrentVersion \ Run” -name “SystemUpdate” -Value “C: \ Windows \ System32 \ Svchost.exe -k Netsvcs” ”
El malware demostró características avanzadas contra el análisis, incluidas las técnicas de detección de máquinas virtuales y evasión de sandbox.
Empleó métodos de inyección de procesos para esconderse dentro de los procesos legítimos de Windows, lo que hace que la detección sea un desafío para las soluciones antivirus tradicionales.
El proceso de recuperación implicó reimera integral del sistema, restauración de copias de seguridad e implementación de soluciones de monitoreo mejoradas para evitar futuros incidentes.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
