Termite勒索软件团伙已正式声明负责11月针对软件即服务（SaaS）提供商Blue Yonder的攻击。

  Blue Yonder（前身为JDA软件，并作为松下子公司运营）是一家总部位于亚利桑那州的全球供应链软件提供商，为零售商、制造商和物流服务商提供解决方案。

  其超过3000个客户中包括一些知名企业，如微软、雷诺、拜耳、特易购、联想、DHL、3M、Ace Hardware、宝洁公司、卡尔斯伯格、Dole、沃尔格林、西部数据和7-Eleven等。

  BleepingComputer此前曾获悉，Termite勒索软件团伙是Blue Yonder攻击的幕后黑手，但这一信息尚未得到独立确认。

  此次事件导致了一波服务中断，影响了使用该公司软件的客户，包括美国咖啡连锁店星巴克和英国的Morrisons与Sainsbury's超市连锁。这些中断源于Blue Yonder托管环境的管理服务出现问题。

  星巴克表示，由于勒索软件攻击影响了超过10,000家门店的工作排班追踪软件，公司不得不手动支付员工工资。法国笔制造商BIC也受到发货延误的影响，而Morrisons透露，事件影响了其新鲜食品的仓库管理系统。

  根据公司在周末更新的安全事件追踪页面，Blue Yonder已恢复了一些受影响的客户，并正与外部网络安全专家合作，帮助其他客户恢复正常业务运营。

  一周前，Blue Yonder表示，其团队“正在昼夜奋战应对这一事件，并持续取得进展。”

  虽然该公司尚未透露有多少客户受到了影响，也未说明攻击者是否窃取了其被攻破系统中的数据，但Termite勒索软件团伙今天已正式声明对该攻击负责，并表示他们窃取了680GB的文件。

  攻击者在其泄露网站上声称：“我们的团队获得了680GB的数据，包括数据库转储、用于未来攻击的电子邮件列表（超过16000个）、文档（超过200000个）、报告和保险文件。”

  根据威胁情报公司Cyjax的分析，Termite勒索软件团伙是一个新兴的勒索软件团伙，首次出现在2024年10月中旬。此后，该团伙在其暗网门户上列出了来自全球各个行业的七个受害者，包括Blue Yonder。

  与其他勒索软件团伙一样，该网络犯罪团伙涉及数据窃取、勒索和加密攻击。

  根据网络安全公司Trend Micro的说法，Termite勒索软件使用的是2021年9月泄露的Babuk加密器版本，攻击后会在受害者的加密系统上留下《How To Restore Your Files.txt》赎金条。

  Trend Micro还表示，Termite勒索软件的加密器可能仍在开发中，因为它存在代码执行缺陷，可能导致加密过程提前终止。

  2024年12月9日更新，10:09 EST：Blue Yonder的发言人向BleepingComputer表示——在报道发布后——公司正在调查勒索软件数据盗窃的指控。

  “在近期的勒索软件攻击之后，Blue Yonder与外部网络安全公司合作，加强了我们的防御和取证协议。我们已通知受到运营中断影响的客户，并在恢复过程中与他们密切合作，”该发言人表示。

  “我们知道有未经授权的第三方声称从我们的系统中窃取了某些信息。我们正在与外部网络安全专家积极合作，处理这些指控。调查仍在进行中。”