Ingram Micro Lumpuh! Ransomware SafePay Serang Sistem Global

Ingram Micro, salah satu distributor teknologi terbesar di dunia, menjadi korban serangan ransomware yang berdampak luas pada operasional perusahaan. Gangguan ini pertama kali terdeteksi pada Kamis pagi, 3 Juli 2025, ketika sejumlah sistem internal perusahaan, termasuk situs web dan platform pemesanan online, tiba-tiba tidak bisa diakses.

Perusahaan semula tidak memberikan pernyataan resmi mengenai penyebab gangguan tersebut. Namun, berdasarkan informasi yang dikutip dari oleh BleepingComputer mengungkapkan bahwa gangguan itu ternyata merupakan dampak dari serangan ransomware yang diluncurkan oleh kelompok SafePay—salah satu grup ransomware paling aktif pada tahun 2025.

 
Catatan Tebusan Muncul di Perangkat Karyawan

Serangan tersebut mulai diketahui ketika karyawan Ingram Micro menemukan catatan tebusan muncul di layar perangkat mereka. Dalam catatan tersebut, pelaku mengklaim telah mencuri data penting dan mengenkripsi sistem internal perusahaan. Namun hingga kini belum ada konfirmasi apakah data benar-benar dicuri atau hanya bagian dari taktik intimidasi yang biasa digunakan oleh kelompok SafePay.

Penting dicatat bahwa SafePay dikenal menggunakan bahasa standar dalam setiap serangannya. Oleh karena itu, klaim pencurian data perlu diverifikasi lebih lanjut. Sumber internal menyebutkan bahwa pelaku diduga mendapatkan akses ke jaringan perusahaan melalui VPN GlobalProtect, dengan memanfaatkan kredensial yang telah dicuri.

 
Langkah Cepat: Sistem Dimatikan, Karyawan Kerja dari Rumah

Merespons serangan ini, Ingram Micro langsung mengambil langkah cepat. Beberapa sistem internal dimatikan secara proaktif, dan penggunaan VPN GlobalProtect dilarang karena dianggap sebagai titik masuk serangan. Sejumlah karyawan juga diminta untuk bekerja dari rumah.

Sistem-sistem penting yang terdampak antara lain platform distribusi berbasis kecerdasan buatan (AI) milik perusahaan, Xvantage, dan platform lisensi Impulse. Meski begitu, layanan kolaboratif seperti Microsoft 365, Teams, dan SharePoint masih berfungsi secara normal.

 
Konfirmasi Resmi: Ingram Micro Mengakui Terkena Ransomware

Setelah sempat bungkam, Ingram Micro akhirnya merilis pernyataan resmi pada Minggu pagi, 6 Juli 2025. Dalam pernyataan tersebut, perusahaan mengonfirmasi bahwa mereka menjadi korban serangan ransomware.

“Ingram Micro baru-baru ini mengidentifikasi adanya ransomware pada sejumlah sistem internalnya. Kami segera mengambil langkah-langkah mitigasi untuk melindungi sistem dan melibatkan pakar keamanan siber untuk melakukan penyelidikan,” demikian bunyi pernyataan tersebut.

Perusahaan juga mengaku telah menghubungi otoritas penegak hukum dan sedang berupaya memulihkan sistem secepat mungkin agar pemrosesan dan pengiriman pesanan dapat kembali berjalan normal. Ingram Micro juga menyampaikan permintaan maaf kepada pelanggan, mitra vendor, dan pihak lainnya yang terdampak oleh gangguan ini.

 
Palo Alto Networks Angkat Bicara Soal GlobalProtect VPN

Menanggapi dugaan bahwa pelaku menggunakan GlobalProtect VPN sebagai jalur masuk ke sistem Ingram Micro, Palo Alto Networks selaku pengembang VPN tersebut memberikan klarifikasi.

“Keamanan pelanggan adalah prioritas utama kami. Kami sedang menyelidiki laporan terkait insiden ini,” ujar perwakilan Palo Alto Networks.
Mereka menekankan bahwa pelaku ancaman siber sering kali mengeksploitasi kredensial yang dicuri atau konfigurasi jaringan yang lemah, bukan karena adanya kerentanan pada produk mereka. Dalam pembaruan pernyataan berikutnya pada 8 Juli 2025 , perusahaan menegaskan bahwa tidak ada bukti bahwa produk GlobalProtect mereka diretas atau menjadi sumber kerentanan.

 
SafePay: Grup Ransomware Pendatang Baru yang Agresif

SafePay pertama kali muncul pada November 2024, namun sejak itu sudah mencatatkan lebih dari 220 serangan terhadap berbagai organisasi global. Metode serangan mereka umumnya dengan menyusup lewat VPN gateway menggunakan akun dengan kredensial lemah atau hasil peretasan sebelumnya.

Grup ini dikenal dengan metode "password spray attack"—menebak-nebak kombinasi kata sandi umum dalam jumlah besar. Strategi ini sering berhasil karena banyak organisasi belum menerapkan autentikasi dua faktor atau kebijakan kata sandi yang ketat.

 
Pemulihan Sistem Dimulai

Pada 8 Juli 2025, Ingram Micro mengumumkan bahwa proses pemulihan sistem telah dimulai. Dalam siaran pers terbaru, perusahaan mengklaim bahwa layanan pemesanan langganan, termasuk pembaruan dan modifikasi, sudah bisa diproses kembali secara global oleh tim dukungan pusat mereka.

Selain itu, pemesanan melalui telepon atau email juga telah difungsikan kembali di sejumlah negara seperti Inggris, Jerman, Prancis, Italia, Spanyol, Brasil, India, Tiongkok, Portugal, dan negara-negara Nordik. Meskipun begitu, masih ada beberapa keterbatasan dalam pemesanan perangkat keras yang sedang dalam proses perbaikan.

VPN GlobalProtect pun mulai diaktifkan kembali di beberapa lokasi, menunjukkan bahwa upaya pemulihan jaringan mulai membuahkan hasil.

 
Perlindungan Akses Jaringan Harus Jadi Prioritas

Insiden ini kembali mengingatkan dunia akan pentingnya perlindungan akses jaringan, khususnya melalui VPN. Dalam banyak kasus, termasuk yang dialami Ingram Micro, serangan terjadi karena pelaku berhasil menyusup melalui akses yang seharusnya dijaga ketat.

Organisasi perlu memastikan bahwa kredensial akses tidak mudah ditebak, serta menggunakan lapisan keamanan tambahan seperti autentikasi multifaktor (MFA). Selain itu, audit berkala terhadap sistem keamanan jaringan juga penting dilakukan untuk mendeteksi kerentanan sejak dini.

Serangan ransomware SafePay terhadap Ingram Micro menjadi pengingat serius bagi semua perusahaan, terutama yang mengandalkan infrastruktur TI berskala besar. 

Walau Ingram Micro berhasil mulai memulihkan sebagian sistemnya, dampak jangka panjang dari insiden ini masih belum sepenuhnya terlihat. Yang pasti, dunia usaha kini semakin menyadari bahwa perlindungan siber bukan lagi pilihan, melainkan kebutuhan mutlak dalam era digital.