De ransomware-aanval op softwareleverancier Blue Yonder is steeds beter in kaart gebracht. Hoewel veel klanten weer zijn opgestart, is de gelekte data in handen van de Termite-cybercriminelen.
Blue Yonder levert logistieke supply chain-software voor allerlei grote bedrijven, waaronder Starbucks, BIC, Hema en Jumbo. Door de aanval moesten deze organisaties veelal tijdelijk overstappen naar een andere oplossing, zoals we kort na de aanval berichtten.
Tip: Softwareleverancier Hema en Jumbo nog niet hersteld van aanval
Via verschillende updates heeft Blue Yonder de buitenwereld geïnformeerd over de hack. Op 21 november werd de managed services-omgeving geteisterd door een cyberaanval. Op 1 december stelde het bedrijf dat het samen met security-partijen veel progressie boekte. Dit weekend volgde een Blue Yonder-bericht over een mogelijke data-exfiltratie, waarover klanten al zouden zijn geïnformeerd. Toch is het onderzoek nog volop bezig.
Claim van Termite
De aanval is inmiddels opgeëist door de Termite-ransomwaregroep. Men zou 680 GB hebben bemachtigd, waaronder databases, maillijsten en 200.000 documenten. De 16.000 entries aan gestolen digitale informatie zou volgens de groep voor een volgende aanval nuttig kunnen zijn.
Het is onduidelijk om wiens informatie het gaat, maar het is aannemelijk dat hier klantinformatie tussen zit. Dit omdat het een invasie van de managed services-omgeving betrof, waarbij Blue Yonder klanten voorziet van dienstverlening bovenop alleen de oplossing zelf.
Phishing-goudmijn
De kans op nieuwe aanvalspogingen, indien de claims van Termite kloppen, is daarmee groot. Bij de Blue Yonder-hack zelf is niet duidelijk of er sprake is geweest van een afbetaling. Aangezien cybercriminelen na het ontvangen van losgeld alsnog de gestolen informatie kunnen bewaren, zou het voor Blue Yonder geen garanties hebben geboden. Termite staat bekend als een ‘double extortion‘-dreiging, waarbij data niet alleen wordt versleuteld maar ook is gekopieerd naar de omgeving van de kwaadwillende. Vervolgens is het lekken of doorverkopen van de data zowel een middel om druk te zetten als een lucratieve opbrengst voor later gebruik.
Met gestolen e-mailadressen van klanten en eventueel extra interne informatie, kunnen de aanvallers veel overtuigendere phishing-mails schrijven. Zo zullen partijen als Hema en Jumbo details in hun Blue Yonder-omgevingen wellicht herkennen als authentiek in een anderszins fraudulent bericht, waardoor medewerkers sneller bereid zijn op een verdachte link te klikken. Het advies rondom de Termite-dreiging is echter hetzelfde als bij andere phishing-gevaren: let op de validiteit van de verzender, klik niet op links en open geen bijlagen zonder zeker te zijn van de betrouwbaarheid.
De Blue Yonder-hack laat andermaal zien dat een enkele cyberaanval nog veel grotere gevolgen op de langere termijn heeft. Niet alleen ben je als slachtoffer juist een extra aantrekkelijk doelwit na een eerste compromis, ook zijn klanten blootgesteld aan een toegenomen cyberdreiging als hun data op straat ligt.