“อินแกรม ไมโคร” โดนแรนซัมแวร์เล่นงาน ระบบล่มทั่วโลก – ลามถึงไทย ยังไร้คำชี้แจง

วงการไอทีทั่วโลกสะเทือน เมื่อ Ingram Micro บริษัทผู้จัดจำหน่ายเทคโนโลยีและโซลูชันไอทีระดับโลก เกิดเหตุ ระบบล่มพร้อมกันทั่วโลก ส่งผลให้ทั้งเว็บไซต์ พอร์ทัลบริการ และระบบภายในองค์กรไม่สามารถใช้งานได้ ขณะที่ลูกค้าในหลายประเทศ—รวมถึงประเทศไทย—ไม่สามารถสั่งซื้อหรือติดต่อบริษัทได้ และที่น่ากังวลยิ่งกว่านั้นคือ… บริษัทกลับไม่ออกแถลงการณ์ใด ๆ เกี่ยวกับเหตุการณ์ที่เกิดขึ้น

ข่าวล่าสุดคอนเฟอร์มแล้วว่า เหตุขัดข้องที่เกิดขึ้นอย่างต่อเนื่องกับ อินแกรม ไมโคร มีสาเหตุมาจากการโจมตีด้วยแรนซัมแวร์ชื่อ SafePay ซึ่งส่งผลให้บริษัทต้องปิดระบบภายในจำนวนมาก

อินแกรม ไมโคร เป็นบริษัทไอทีระดับโลกจากสหรัฐอเมริกา ที่ดำเนินธุรกิจในรูปแบบ B2B โดยทำหน้าที่เป็นตัวกลางระหว่างผู้ผลิตเทคโนโลยีกับผู้ให้บริการและลูกค้าองค์กรทั่วโลก อยู่เบื้องหลังการจัดจำหน่าย ฮาร์ดแวร์ ซอฟต์แวร์ ระบบคลาวด์ โลจิสติกส์ และบริการฝึกอบรม สำหรับองค์กรภาครัฐและเอกชนมากกว่า 200,000 รายในกว่า 160 ประเทศ มีพนักงานกว่า 24,000 คนทั่วโลก รายได้ปี 2024 สูงถึง 48,000 ล้านดอลลาร์สหรัฐ

เหตุขัดข้องเริ่มต้นเมื่อเช้าวันพฤหัสบดีที่ 4 กรกฎาคม (ตามเวลาสหรัฐฯ) เมื่อเว็บไซต์ ingrammicro.com ล่มลงแบบไม่ทราบสาเหตุ พร้อมกันกับที่ลูกค้าในหลายประเทศไม่สามารถเข้าสู่ระบบเพื่อสั่งซื้อหรือเข้าถึงบริการต่าง ๆ ได้เลย ขณะเดียวกัน พนักงานของบริษัทเองในหลายประเทศก็แจ้งว่า ไม่สามารถใช้งานระบบภายในได้แม้แต่คนในองค์กร

พอร์ทัลเอเซียมีปัญหา แต่เว็บไทยยังเข้าได้

อย่างไรก็ตามเว็บไซต์หลักของ อินแกรม ไมโคร (ประเทศไทย) www.ingrammicro.co.th ยังเข้าได้ตามปรกติ ยังสามารถดูข้อมูลสินค้าและบริการต่างๆ ได้อย่างสมบูรณ์

แต่หากคลิกเพื่อล็อกอินเข้าระบบ จะลิงก์ไปยังระบบ Xvantage ที่มีปัญหาและได้รับผลกระทบจากเหตุแรนซัมแวร์ ไม่สามารถเข้าใช้งานได้ (https://th.ingrammicro-asia.com)

โดยแสดงข้อความจาก Akamai CDN ว่า

“An error occurred while processing your request…”
ซึ่งบ่งชี้ว่าระบบหลักหยุดให้บริการแล้วในหลายภูมิภาค

นี่คือหลักฐานชัดเจนว่า ผลกระทบไม่ได้เกิดแค่ในอเมริกา แต่ลามถึงเอเชียและประเทศไทยด้วยเช่นกัน

ยิ่งเงียบ… ยิ่งน่าสงสัย – หรือจะโดนโจมตีไซเบอร์?

หลายคนตั้งข้อสังเกตว่าการล่มแบบเงียบกริบ และการไม่ออกแถลงการณ์ใด ๆ จากบริษัท อาจบ่งบอกถึง เหตุการณ์ไซเบอร์ระดับรุนแรง

ฟอรัมกลุ่ม MSPs บน Reddit เต็มไปด้วยความสงสัย บางคนอ้างว่าบริษัทอาจถูกแรนซัมแวร์โจมตี มีใจความส่วนหนึ่งว่า

เว็บไซต์ของพวกเขาล่มมาตั้งแต่เช้าวันนี้ (ตามเวลา EST) และไม่มีแผนกไหนตอบอีเมลเลย มีแค่เมลตอบกลับอัตโนมัติตามปกติจากระบบและจากตัวแทนดูแลบัญชีของผมเท่านั้น ผมเลยโทรไป เพราะอยากลองดูว่าสามารถสั่งของทางโทรศัพท์ได้ไหม แม้แต่ระบบโทรศัพท์ของพวกเขาก็ทำงานแปลก ๆ หลังจากผ่านไป 30 นาที ในที่สุดผมก็มีคนรับสาย ผมจึงถามว่า ผมสามารถสั่งของทางโทรศัพท์ได้ไหม เพราะเว็บไซต์ล่มมาหลายชั่วโมงแล้ว เขาบอกว่าทำไม่ได้ เพราะเว็บไซต์และระบบสั่งซื้อทั้งหมดล่มโดยสมบูรณ์ และเขาเชื่อว่าพวกเขา “ถูกโจมตี” แต่ทีมวิศวกรกำลังทำงานแก้ไขปัญหาอยู่

ผมเลยถามว่า ทำไมอินแกรมถึงไม่ส่งอีเมลถึงลูกค้าเพื่อแจ้งว่าเว็บไซต์ล่ม และว่าวันนี้ไม่สามารถโทรหรือส่งอีเมลสั่งของได้ ผมรู้ว่าอีเมลของพวกคุณยังใช้งานได้ เพราะผมยังได้รับเมลตอบกลับอัตโนมัติอยู่เลย เขาตอบว่าปัญหานี้อยู่นอกเหนือการควบคุมของพวกเขา และพวกเขากำลังแก้ไขอยู่ ผมก็โต้กลับไปว่า การส่งอีเมลแจ้งว่าระบบล่มน่ะ ใช้เวลาแค่ไม่กี่นาทีเอง

แล้วผมก็นึกขึ้นมาได้เลยถามว่า “เดี๋ยวนะ คุณกำลังจะบอกว่าคุณโดนแฮกเหรอ?”
เขาตอบว่า นั่นคือเสียงลือที่เขาได้ยินมาเหมือนกัน

ขณะที่ BleepingComputer ซึ่งติดตามข่าวนี้อยู่ ยอมรับว่ายังไม่สามารถยืนยันสาเหตุที่แท้จริงได้

อย่างไรก็ตาม การที่ระบบภายในและเว็บไซต์ถูกปิดการเข้าถึงเป็นเวลานาน โดยไม่เปิดเผยข้อมูลใด ๆ ถือเป็น “สัญญาณอันตราย” ที่มักเกิดขึ้นเมื่อองค์กรถูกละเมิดด้านความปลอดภัย

หากมีความคืบหน้าเราจะติดตามมารายงานเป็นระยะครับ

Update!

ล่าสุด BleepingComputer ได้รับข้อมูลว่า การล่มครั้งนี้เป็นผลจากการโจมตีทางไซเบอร์ ที่เกิดขึ้นตั้งแต่เช้าตรู่วันพฤหัสบดี พนักงานบางรายพบว่าในคอมพิวเตอร์ของตนมี ข้อความเรียกค่าไถ่ (ransom note) ปรากฏขึ้น ซึ่งเป็นลักษณะของแรนซัมแวร์

ข้อความดังกล่าวเป็นของกลุ่ม SafePay ซึ่งในปี 2025 ได้กลายเป็นหนึ่งในกลุ่มแรนซัมแวร์ที่มีความเคลื่อนไหวสูงที่สุด อย่างไรก็ตาม ยังไม่สามารถยืนยันได้แน่ชัดว่า เครื่องที่ได้รับผลกระทบนั้นถูกเข้ารหัสจริงหรือไม่

แหล่งข่าวแจ้งกับ BleepingComputer ว่า ผู้โจมตีอาจแทรกซึมเข้าสู่เครือข่ายของ Ingram Micro ผ่านแพลตฟอร์ม GlobalProtect VPN โดยใช้ข้อมูลล็อกอินที่ถูกขโมย หรือเทคนิคแบบ password spraying

หลังจากตรวจพบการโจมตี บริษัทได้สั่งให้พนักงานบางส่วนทำงานจากบ้าน และสั่งปิดระบบภายใน พร้อมแจ้งให้หลีกเลี่ยงการใช้งาน GlobalProtect VPN ของบริษัท ซึ่งได้รับผลกระทบจากเหตุการณ์ครั้งนี้ด้วย

ระบบที่ได้รับผลกระทบในหลายพื้นที่ ได้แก่:

• Xvantage แพลตฟอร์มกระจายสินค้าอัจฉริยะของบริษัท
• Impulse ระบบบริหารจัดการไลเซนส์ซอฟต์แวร์

อย่างไรก็ตาม มีรายงานว่า บริการอื่น ๆ เช่น Microsoft 365, Teams และ SharePoint ยังสามารถใช้งานได้ตามปกติ

จนถึงเมื่อวานนี้ (ตามเวลาท้องถิ่นสหรัฐฯ) Ingram Micro ยังไม่ได้แจ้งเหตุการณ์นี้ต่อสาธารณะ หรือแม้แต่กับพนักงานภายในบริษัท โดยมีเพียงประกาศทั่วไปว่า “กำลังพบปัญหาด้านไอทีอยู่ในขณะนี้” ซึ่ง BleepingComputer ได้รับจากเอกสารภายใน

สำหรับกลุ่ม SafePay ransomware นั้น ถือเป็นกลุ่มใหม่ที่เพิ่งปรากฏตัวครั้งแรกในเดือนพฤศจิกายน 2024 แต่มีเหยื่อแล้วมากกว่า 220 ราย ภายในเวลาไม่ถึงปี

กลุ่มนี้เคยใช้เทคนิคเจาะระบบขององค์กรผ่าน VPN ที่ไม่ได้ป้องกันอย่างรัดกุม โดยเฉพาะจากข้อมูลล็อกอินที่รั่วไหลหรือการยิงรหัสผ่านแบบสุ่ม (password spray)

ที่มา

ที่มา