Blue Yonder Starbucks Ransomware-angrep: Alt vi vet

Hvorfor oss?

Blue Yonder, leverandør av programvare for leverandørkjedestyring til tusenvis av selskaper, deriblant DHL, Tesco og Procter & Gamble, ble utsatt for et løsepengevirusangrep etter at en inntrenger fikk tilgang til deres administrerte tjenestemiljø.

Hendelsen har påvirket flere selskaper, deriblant Starbucks, som har måttet ty til manuell betaling og administrasjon av baristaenes arbeidsplaner på grunn av systemforstyrrelser, og ledere har måttet beregne de ansattes lønninger manuelt.

Løsepengevirus har vært en cybersikkerhetsrisiko i årevis, og til tross for at det er investert milliarder i å bekjempe det, er mange selskaper fortsatt åpne for angrep.

Hva er det som gjør angrep i leverandørkjeden som Blue Yonder så utbredt? Svaret er at de er relativt enkle å gjennomføre og kan være ekstremt lukrative.

Nøkkelpunkter

  • Et datainnbrudd hos Blue Yonder har ført til at nedstrømskunder som Starbucks og Morrisons har blitt rammet.
  • Angrepet er et eksempel på angrep i leverandørkjeden som tar sikte på å ramme programvareleverandørers kunder i etterfølgende ledd.
  • Løsepengevirus brukes ofte som en del av angrep i leverandørkjeden for å presse ut ofrene.
  • Det er vanskelig å forhindre angrep i leverandørkjeden, men til syvende og sist handler det om å overvåke forholdet til tredjepartsleverandører nøye.

Det vi vet om Starbucks-angrepet med løsepengevirus

Den 21. november kunngjorde Blue Yonder at de var offer for et ransomware-angrep. I meldingen heter det at «Blue Yonder opplevde forstyrrelser i sitt miljø for hostede administrerte tjenester, noe som ble fastslått å være et resultat av en ransomware-hendelse.»

Det er ikke bekreftet hvordan bruddet ble forårsaket, og heller ikke identiteten til trusselaktøren, men selskapet bemerket at det «har jobbet flittig sammen med eksterne cybersikkerhetsfirmaer for å gjøre fremskritt i gjenopprettingsprosessen. Vi har implementert flere defensive og rettsmedisinske protokoller.»

To dager senere, den 24. november, så det ikke ut til å være noen løsning på hendelsen, med teamet som utstedte en oppdatering om at det fortsatt «jobbet døgnet rundt for å svare på denne hendelsen.»

Selv om Blue Yonder ikke har bekreftet hvilke kunder som har blitt berørt av bruddet, har tredjepartsselskaper som Starbucks og Morrisons, et britisk supermarked, bekreftet de siste dagene at de ble påvirket av hendelsen.

Mer spesifikt har Starbucks bekreftet at de måtte håndtere lønns- og planleggingsproblemer i 11 000 butikker på grunn av hendelsen, og en talsperson for dagligvarebutikken Morrisons bekrefter at hendelsen påvirket lagerstyringssystemene, noe som tvang selskapet til å bruke backup-systemer.

Det er ikke bare et problem for ett selskap, men for mange, når en forsyningskjede – enten den er virtuell eller fysisk – blir angrepet.

Nick Tausek, ledende sikkerhetsautomatiseringsarkitekt hos Swimlane, sier til Techopedia:

“Angrepet på Blue Yonder understreker de store ringvirkningene som cyberangrep mot leverandører i forsyningskjeden kan ha på organisasjoner.

«Som en viktig programvareleverandør for dagligvareforhandlere i USA og Storbritannia spiller Blue Yonder en avgjørende rolle for å sikre en smidig drift.

«Når slike leverandører blir utsatt for angrep, kan det få konsekvenser for hele leverandørkjeden og påvirke en lang rekke virksomheter og kunder.»

Ettersom det var Blue Yonders vertsmiljø for administrerte tjenester som ble kompromittert, er det mulig at flere kundeoperasjoner har blitt rammet av dominoeffekter.

Hvorfor angrep på forsyningskjeden og løsepengevirus er populære blant nettkriminelle

Cyberkriminelle liker å bruke taktikker som krever lite innsats, men som gir stor belønning. Hvis de kan hacke en programvareleverandør og få tilgang til kundedata nedstrøms, er det mye mer fordelaktig enn å bryte seg inn i et enkelt selskaps interne systemer.

Moderne bedriftsmiljøer er bygget på tredjepartstjenester, enten det er i form av administrerte tjenester eller SaaS-apper ( Software-as-a-Service ), noe som har økt angrepsflaten som hackere kan utnytte.

På forsvarssiden må organisasjoner ikke bare ta hensyn til angrepsflaten til egen organisasjon, men også til selskapene som deler data i leverandørkjeden.

Ethvert datainnbrudd hos en oppstrøms programvareleverandør kan ha ødeleggende konsekvenser for et nedstrøms selskap, inkludert juridisk ansvar, nedetid og økonomisk skade.

Dessverre er slike angrep utrolig vanlige.

Ifølge Verizon Data Breach Investigations Report 2024 involverte 62 % av de økonomisk motiverte hendelsene løsepengevirus eller utpressing, og medianen for tapene var på hele 46 000 dollar per brudd.

Rapporten fant også at 15 % av innbruddene involverte en tredjepart eller leverandør, for eksempel en programvareleverandør, hostingpartner, infrastrukturleverandør eller databehandler.

Løsepengevirus vs. angrep på programvareleverandørkjeden: Er det noen forskjell?

Det er viktig å understreke at løsepengevirus og angrep på leverandørkjeden ofte kombineres, men at de tjener to ulike formål.

Løsepengevirus er en form for skadelig programvare som brukes til å kryptere, exfiltrere og slette offerets filer: Når hackeren har kryptert filene, sender de vanligvis ut et skriftlig krav om løsepenger som skal betales til en Bitcoin-adresse.

Løsepengeangrep er relativt enkle å gjennomføre fordi en angriper bare trenger å lure et offer til å klikke på et ondsinnet vedlegg i en phishing-e-post for å starte et angrep som kan koste millioner.

Angriperne har også muligheten til å benytte seg av dobbel utpressing og true med å lekke filer hvis en bedrift ikke betaler.

Angrep i leverandørkjeden brukes derimot primært til å komme seg inn i en programvareleverandørs systemer, enten gjennom en sårbarhet eller på andre måter, for så å infiltrere systemene til nedstrømskunder.

Tanken er å bryte seg inn hos én verdifull leverandør for å få tilgang til mange andre selskaper.

Denne typen angrep ble kjent da nettkriminelle fikk tilgang til SolarWinds Orion-systemet og sendte en ondsinnet oppdatering til over 18 000 organisasjoner, noe som i praksis innebar at skadevare ble distribuert direkte til deres nettverk.

Hvordan forsvare seg mot løsepengevirus og angrep på forsyningskjeden

På papiret handler forsvaret mot løsepengevirusangrep om å ta i bruk grunnleggende cybersikkerhet og grunnleggende brukerhygiene.

Enkle tiltak som å opprette et sterkt passord, ikke klikke på lenker eller vedlegg i e-poster eller SMS-meldinger, laste ned sikkerhetsoppdateringer og aktivere flerfaktorautentisering (2FA) kan bidra til å gjøre det mye vanskeligere å kompromittere kontoer og systemer på nettet.

Organisasjoner kan lære opp brukerne i hvordan de kan forbedre sine rutiner for cybersikkerhet ved hjelp av opplæring i sikkerhetsbevissthet, som lærer de ansatte om cybertrusler og gir praktisk veiledning om hvordan de kan forebygge datainnbrudd.

Det er imidlertid mye mer komplisert å forebygge brudd i leverandørkjeden, og det innebærer at man må være mye mer selektiv når det gjelder hvilke leverandører man samarbeider med, se på deres cybersikkerhetstiltak og datahåndteringspraksis, og hvordan de samhandler med systemene dine.

Tausek fra Swimlane legger til:

“Angrep i leverandørkjeden er spesielt utfordrende fordi leverandørene er så dypt integrert i organisasjonen.

«Derfor er det viktig å prioritere sikkerheten ikke bare for din egen IT-infrastruktur, men også for tredjepartsleverandørers tilgang og legitimasjon.

«Ved å bruke automatiserte plattformer for å sentralisere oppdagelsen av hendelser og rapporteringen av sikkerhetsbrudd kan organisasjoner reagere effektivt på trusler.»

Samtidig må organisasjoner ha beredskapsplaner på plass for å kunne løse sikkerhetsbrudd så raskt som mulig, hvis forebyggingen svikter.

«Organisasjoner må forberede seg på denne typen angrep og være fullt klar over hvilke tiltak de må iverksette for å fjerne uønskede besøkende og håndtere tap av data, brudd på datasikkerheten eller tap av tillit hos kunder og klienter», sier James McQuiggan, sikkerhetsrådgiver hos Knowbe4.

«Organisasjoner må ha en veldokumentert og gjennomførbar Incident Response-plan (IR-plan) med regelmessig testing, som gjør det mulig å håndtere hendelser og minimere skader og nedetid.

«Som en del av IR-planen må sikkerhetskopierings- og gjenopprettingsprosesser testes rutinemessig og isoleres fra produksjonsmiljøer for å muliggjøre rask gjenoppretting og redusere angripernes mulighet til å kreve løsepenger.»

Konklusjon

Løsepengevirus og leverandørkjeden vil fortsatt utgjøre en trussel i 2025, men investeringer i opplæring av ansatte og evaluering av partnerskap med tredjepartsleverandører kan bidra til å redusere noe av risikoen.

Hvis man fortsetter å investere i cybersikkerhet på tvers av hele angrepsflaten, ikke bare internt, men også i forhold til eksterne leverandører, vil man ha størst sjanse til å unngå kompromittering i fremtiden.

Ofte stilte spørsmål

Hva er Blue Yonder-løsepengevirusangrepet?

Hvordan påvirket løsepengevirusangrepet Starbucks?

Hvorfor er angrep i leverandørkjeden så vanlig?

Hvordan kan bedrifter forebygge løsepengevirusangrep?

Hva er forskjellen mellom løsepengevirus og angrep i leverandørkjeden?

Hva er den langsiktige lærdommen fra Blue Yonder-angrepet?

Relaterte begreper

Related Articles

Tim Keary
Technology Specialist
Tim Keary
Teknologispesialist

Siden januar 2017 har Tim Keary vært en frilans teknologiskribent og reporter, som dekker bedriftsteknologi og informasjonssikkerhet.