Разрушителната рансъмуер атака срещу Blue Yonder, доставчик на софтуер за управление на веригата за доставки за големи търговци на дребно, компании за потребителски продукти и производители, подчертава повишения риск, пред който са изправени организациите по време на натоварения празничен сезон.

Атаката от 21 ноември срещу Blue Yonder засегна инфраструктурата, която компанията използва за хостване на различни управлявани услуги за клиенти, сред които са 46 от 100-те най-големи производители, 64 от 100-те най-големи производители на потребителски стоки и 76 от 100-те най-големи търговци на дребно в света.

Големи вериги супермаркети в Обединеното кралство, засегнати от кибератака

Сред най-засегнатите от атаките са Morrisons и Sainsbury’s, две от най-големите вериги супермаркети в Обединеното кралство. Британската медия The Grocer цитира говорител на Morrisons, който описва атаката Blue Yonder като засягаща безпроблемната доставка на стоки до магазините в Обединеното кралство. Наличността на някои продуктови линии в обектите за продажба на едро и в обектите за продажба на дребно може да спадне до 60% от нормалната наличност, съобщава медията.

В САЩ Starbucks съобщи, че атаката Blue Yonder е засегнала бек-енд процеса за планиране и проследяване на работното време на служителите. Но освен това досега няма потвърдени съобщения за широко разпространени смущения в резултат на атаката. Сред клиентите на Blue Yonder в САЩ са Kimberly-Clark, Anheuser-Busch, Campbell’s, Best Buy, Wegmans и Walgreens.

В първоначалното си оповестяване на 21 ноември Blue Yonder заяви, че е имало смущения в хостваната среда за управлявани услуги, които е определила като резултат от атака с рансъмуер. Компанията заяви, че активно наблюдава своята среда за публичен облак Blue Yonder Azure, но не е забелязала подозрителна дейност.

„Откакто научи за инцидента, екипът на Blue Yonder работи усърдно заедно с външни фирми за киберсигурност, за да постигне напредък в процеса на възстановяване“, заяви говорител на Blue Yonder в изявление, изпратено по електронната поща на Dark Reading. „Въведохме няколко защитни и криминалистични протокола“ за намаляване на проблема.

„Уведомихме съответните клиенти и ще продължим да комуникираме, както е необходимо. Допълнителна актуализирана информация ще бъде предоставена на нашия уебсайт в хода на разследването“, добави говорителят. В изявлението не се посочват никакви срокове, в които компанията се надява да възстанови напълно своите системи.

Вълнов ефект от хакерската атака на Blue Yonder

Ефектът от атаката на Blue Yonder е подобен на този от други големи атаки по веригата за доставки в последно време, включително тези срещу софтуера за прехвърляне на файлове MOVEit на Progress Software, Kaseya, WordPress и Polyfill.io. Във всеки един от случаите заплахите, стоящи зад атаките, успяха да засегнат широк кръг от организации, като се насочиха към един доверен участник във веригата за доставки на софтуер.

Инцидентът с Blue Yonder също е типичен за атаките, които обикновено се случват около празници и през почивните дни, когато ИТ отделите обикновено не разполагат с пълен персонал. Проучване, проведено от Semperis, показва, че 86% от жертвите на ransomware през изминалата година са били обект на атаки или по време на празници, или през уикенда. Повече от шест от десет респонденти в проучването са заявили, че са преживели атака с ransomware по време на корпоративно събитие.

Semperis установи, че макар повечето от организациите, участвали в проучването, да поддържат денонощен капацитет за операции по сигурността, около 85% от тях са намалили числеността на персонала на центъра за операции по сигурността (SOC) с до 50% извън нормалното работно време.

Отваряне на вратите за кибератаки

„Въпреки широко разпространените усилия за киберсигурност много организации неволно отварят вратата за ransomware, като намаляват защитата си през почивните и празничните дни“, казва Джеф Уичман, директор на отдела за реагиране при инциденти в Semperis. „Нападателите явно очакват това поведение и се насочват към тези периоди – както и към други важни корпоративни събития, които могат да сигнализират за разсеяни или намалени защити – за да нанесат удар.

Уичман казва, че проучването на Semperis е обхванало близо 1000 организации в САЩ, Великобритания, Франция и Германия. Във всяка от тези страни огромното мнозинство от предприятията намаляват персонала си с до 50% по време на празници и почивни дни. В Германия 75 % от организациите са намалили персонала с до 50 % по време на празнични и почивни дни. „В областта на сигурността не можете да се колебаете или да намалявате, а защитата ви трябва да бъде постоянна“ и денонощна, казва той.

Вихман препоръчва на организациите да поддържат поне 75% от редовните си нива на персонал по време на празници и уикенди, за да поддържат оперативна устойчивост.

Ник Таусек, водещ архитект по автоматизация на сигурността в Swimlane, казва, че инциденти като атаката срещу Blue Yonder подчертават защо киберхигиената е важна по всяко време на годината, но особено по време на празничния сезон: „Обучението на потребителите, честите и изчерпателни резервни копия и изпитаният план за възстановяване след бедствие са трите най-големи защити срещу киберпрестъпниците и операторите на ransomware по време на натоварения празничен сезон.“