Ngày 05 tháng 7 năm 2025, Ingram Micro Holding Corporation, một tập đoàn hàng đầu toàn cầu về phân phối IT và giải pháp công nghệ, đã công bố về một sự cố bảo mật nghiêm trọng. Sự cố được xác định là một cuộc tấn công ransomware nhằm vào một số hệ thống nội bộ của công ty. Để ứng phó với mối đe dọa này, Ingram Micro đã ngay lập tức triển khai các biện pháp ứng phó khẩn cấp, chủ động ngắt kết nối các hệ thống bị ảnh hưởng khỏi mạng lưới để ngăn chặn sự lây lan của mã độc và kiểm soát tình hình.
Phản Ứng Khẩn Cấp và Biện Pháp Kiểm Soát
Ngay sau khi phát hiện sự cố, Ingram Micro, có trụ sở tại Irvine, California, đã thực hiện các hành động quyết liệt. Một trong những bước đầu tiên và quan trọng nhất là phân lập hệ thống (system isolation) bị ảnh hưởng. Việc chủ động đưa các hệ thống này ngoại tuyến có mục đích kép: thứ nhất, ngăn chặn hoạt động mã hóa dữ liệu tiếp tục lan rộng; thứ hai, hạn chế khả năng kẻ tấn công di chuyển ngang (lateral movement) trong mạng lưới. Đây là một chiến lược tiêu chuẩn và hiệu quả trong quy trình ứng phó với ransomware để giảm thiểu thiệt hại.
Để đảm bảo một cuộc điều tra toàn diện và hiệu quả, Ingram Micro đã hợp tác với các chuyên gia an ninh mạng hàng đầu từ bên thứ ba. Sự hỗ trợ từ các chuyên gia độc lập này là tối quan trọng để thực hiện phân tích pháp y kỹ thuật số (digital forensics) chuyên sâu, xác định nguồn gốc của cuộc tấn công, đánh giá phạm vi xâm nhập và thu thập các chỉ dấu thỏa hiệp (Indicators of Compromise – IOCs). Song song với việc điều tra kỹ thuật, công ty cũng đã thông báo cho các cơ quan thực thi pháp luật để hỗ trợ điều tra và truy vết hành vi truy cập trái phép.
Mặc dù cuộc điều tra về toàn bộ phạm vi và dữ liệu bị ảnh hưởng vẫn đang diễn ra, Ingram Micro tin rằng mối đe dọa đã được kiểm soát. Các hệ thống bị ảnh hưởng đã trải qua quá trình khắc phục và khôi phục (remediation) cần thiết, bao gồm việc làm sạch mã độc, vá lỗi bảo mật, và khôi phục dữ liệu từ các bản sao lưu hợp lệ. Tuy nhiên, việc đánh giá đầy đủ về mức độ tác động và xác định chính xác dữ liệu nào có thể đã bị truy cập hoặc bị mã hóa vẫn là một phần của cuộc điều tra liên tục.
Quy Trình Khôi Phục Hoạt Động và Trạng Thái Hiện Tại
Trong những ngày sau cuộc tấn công, các nhóm kỹ thuật của Ingram Micro đã làm việc không ngừng nghỉ để đưa các hệ thống trở lại hoạt động. Ưu tiên hàng đầu trong quá trình này là đảm bảo an ninh của toàn bộ hệ sinh thái IT. Điều này bao gồm việc triển khai các biện pháp bảo vệ bổ sung và các giao thức giám sát nâng cao. Các giao thức giám sát này nhằm mục đích phát hiện sớm bất kỳ hoạt động bất thường nào sau khi khôi phục, từ đó ngăn chặn các sự cố tương tự trong tương lai. Các biện pháp bảo vệ bổ sung có thể bao gồm việc tăng cường các chính sách kiểm soát truy cập, triển khai các giải pháp bảo mật điểm cuối (endpoint security), và cải thiện khả năng phát hiện mối đe dọa.
Tính đến thời điểm cập nhật gần nhất, Ingram Micro đã hoạt động trở lại hoàn toàn trên phạm vi toàn cầu. Công ty hiện có khả năng xử lý và vận chuyển các đơn đặt hàng nhận được qua các kênh chính như Trao đổi Dữ liệu Điện tử (EDI), điện thoại, và email. Việc khôi phục các kênh giao dịch thiết yếu này là một tín hiệu mạnh mẽ về sự phục hồi của các quy trình kinh doanh cốt lõi. Khả năng hoạt động đầy đủ đã được tái lập tại tất cả các khu vực kinh doanh quan trọng, bao gồm các thị trường lớn như:
- Hoa Kỳ
- Vương quốc Anh
- Đức
- Pháp
- Ý
- Tây Ban Nha
- Brazil
- Ấn Độ
- Trung Quốc
- Canada
- Singapore
- Áo
- Các nước Bắc Âu
- Doanh nghiệp xuất khẩu Miami
Mặc dù phần lớn hoạt động đã được khôi phục, vẫn còn một số hạn chế nhất định cần được giải quyết. Các đơn đặt hàng, gia hạn và sửa đổi dịch vụ đăng ký (subscription orders) đang được xử lý tập trung thông qua nhóm Hỗ trợ Thống nhất (Unified Support team). Đối với các đơn đặt hàng phần cứng và các công nghệ khác, một số giới hạn vẫn tồn tại và đang được làm rõ theo từng trường hợp cụ thể trong quá trình đặt hàng. Điều này cho thấy rằng việc phục hồi hoàn toàn các chuỗi cung ứng phức tạp liên quan đến phần cứng có thể đòi hỏi thêm thời gian và nỗ lực phối hợp.
Ingram Micro đã bày tỏ sự cảm kích đối với sự kiên nhẫn và hỗ trợ từ khách hàng và các đối tác nhà cung cấp trong giai đoạn đầy thách thức này. Sự hợp tác chặt chẽ với các đối tác trong ngành đóng vai trò quan trọng trong việc thúc đẩy các nỗ lực khôi phục và giảm thiểu tác động đến chuỗi cung ứng công nghệ toàn cầu.
Tác Động và Bài Học Rút Ra
Sự cố ransomware tại Ingram Micro một lần nữa nhấn mạnh mức độ gia tăng của các cuộc tấn công mạng nhằm vào cơ sở hạ tầng IT quan trọng. Ngay cả những tập đoàn lớn trong ngành như Ingram Micro, với mạng lưới phân phối công nghệ khổng lồ phục vụ gần 90% dân số toàn cầu thông qua nền tảng hỗ trợ AI của mình, Ingram Micro Xvantage, cũng không tránh khỏi rủi ro. Điều này làm nổi bật tầm quan trọng của việc duy trì một tư thế an ninh mạng mạnh mẽ và khả năng phản ứng nhanh chóng, ngay cả đối với các tổ chức có quy mô lớn và nguồn lực đáng kể.
Cách tiếp cận chủ động của Ingram Micro, bao gồm việc chủ động đưa các hệ thống ngoại tuyến để ngăn chặn thiệt hại lan rộng và hợp tác với các chuyên gia an ninh mạng bên ngoài, là một minh chứng cho cam kết của công ty trong việc bảo vệ không chỉ hoạt động của mình mà còn cả niềm tin của các đối tác công nghệ kinh doanh. Phương pháp này thiết lập một tiêu chuẩn cho việc quản lý khủng hoảng trong lĩnh vực công nghệ, thể hiện khả năng phục hồi và tập trung vào khách hàng trong bối cảnh bất lợi.
Quá trình khôi phục đang tiến triển, Ingram Micro tiếp tục cập nhật thông tin minh bạch, đảm bảo các bên liên quan được thông báo về tình trạng phục hồi dịch vụ và bất kỳ hạn chế nào còn lại. Khả năng công ty nhanh chóng nối lại các năng lực giao dịch, bao gồm các đơn đặt hàng phần cứng tại Hoa Kỳ và các dịch vụ đăng ký trên toàn thế giới, báo hiệu một quỹ đạo phục hồi mạnh mẽ. Quá trình này được củng cố bởi việc tăng cường các giao thức bảo mật mới được thiết kế để ngăn chặn các sự cố tương lai. Điều này có thể bao gồm việc nâng cấp hạ tầng bảo mật, tăng cường đào tạo nhận thức về an ninh cho nhân viên, và triển khai các công nghệ phòng thủ tiên tiến hơn như XDR (Extended Detection and Response) hoặc Zero Trust Architecture.
Các nhà đầu tư và các nhà quan sát trong ngành sẽ tiếp tục theo dõi các phát hiện từ cuộc điều tra đang diễn ra để có cái nhìn sâu sắc hơn về những tác động rộng lớn hơn của các mối đe dọa an ninh mạng như vậy đối với chuỗi cung ứng IT toàn cầu. Thông tin thu thập được từ các cuộc tấn công này thường được sử dụng để cải thiện các phương pháp bảo mật và khả năng phục hồi của toàn bộ ngành.
