O grupo de ransomware SafePay anunciou que pretende divulgar 3,5 terabytes de dados da Ingram Micro no dia 1º de agosto, caso a empresa não atenda às exigências impostas. A ameaça foi publicada no blog de vazamentos do grupo em 29 de julho, quase um mês após o ataque. Esse é um típico caso de extorsão dupla, em que os cibercriminosos não apenas criptografam os dados da vítima, mas também ameaçam vazá-los publicamente para pressionar o pagamento do resgate.
A exposição no blog serve para aumentar o impacto reputacional e forçar uma resposta financeira. Apesar de a Ingram Micro ter informado anteriormente que havia contido o incidente e restaurado suas operações globais no dia 9 de julho, o aparecimento do nome da empresa no blog do SafePay indica que o grupo ainda está tentando forçar o pagamento sugerindo que a empresa se recusou a negociar. A Ingram Micro não atualizou sua página oficial sobre o ataque desde essa data.
Na ocasião, declarou estar novamente operacional em todas as regiões onde atua, agradecendo o apoio de clientes e parceiros. Entretanto, fontes ouvidas na época relataram dificuldades de comunicação e falta de transparência por parte da companhia, o que causou frustração entre clientes e fornecedores. Observadores de segurança também notaram que alguns sites da empresa, como o portal de segurança da região META (Oriente Médio, Turquia e África), estavam sendo restaurados esta semana, após permanecerem fora do ar desde o ataque. Apesar da retomada, alguns subdomínios continuam inativos e o conteúdo dos sites aparenta estar desatualizado, indicando que a recuperação completa ainda está em andamento.
