W niedawnej aktualizacji dotyczącej cyberataku CDK Global zostało mocno dotknięte przez gang oprogramowania ransomware BlackSuit, powodując znaczną awarię IT, która zakłóciła działalność dealerów samochodowych w Ameryce Północnej. Wiele źródeł, które prosiły o anonimowość, potwierdziło zaangażowanie grupy ransomware.
Aktualizacja cyberataku: CDK zostaje zaatakowane przez gang ransomware BlackSuit
Bloomberga poinformowało, że CDK Global prowadzi obecnie negocjacje z gangiem zajmującym się oprogramowaniem ransomware BlackSuit w celu zabezpieczenia narzędzia deszyfrującego i zapewnienia, że skradzione dane nie wyciekną.
Trwające negocjacje mają miejsce po ataku oprogramowania ransomware, który zmusił CDK do początkowego zamknięcia swoich systemów informatycznych i centrów danych, aby powstrzymać rozprzestrzenianie się ataku. Pomimo prób przywrócenia usług w środę doszło do drugiego cyberataku ze strony BlackSuit oprogramowanie ransomware zmusił CDK do ponownego zamknięcia wszystkich systemów informatycznych, co miało wpływ na platformę dealerską samochodów.
CDK Global, wiodący dostawca oprogramowania jako usługi (SaaS), ułatwia dealerom samochodowym zarządzanie różnymi aspektami operacyjnymi, w tym sprzedażą, finansowaniem, zapasami, serwisem i funkcjami back-office. Obecnie dealerzy pracują w trybie offline, korzystając z ręcznych operacji za pomocą pióra i papieru.
Ponadto dwie największe firmy zajmujące się publicznymi dealerami samochodowymi, Penske Automotive Group i Sonic Automotive, ujawniły wczoraj, że ich również dotknęły te awarie. CDK w dalszym ciągu dostarcza aktualizacje, starając się szybko rozwiązać sytuację.
„Nasza działalność Premier Truck Group korzysta z systemu zarządzania dealerami CDK, który uległ zakłóceniom. Natychmiast podjęliśmy zapobiegawcze kroki, aby chronić nasze systemy i rozpoczęliśmy dochodzenie w sprawie incydentu, które jest w toku. Premier Truck Group wdrożyła swoje plany reagowania na ciągłość działania i nadal działa we wszystkich lokalizacjach, korzystając z ręcznych lub alternatywnych procesów opracowanych w celu reagowania na takie zdarzenia” – stwierdził Penske w oświadczeniu Złożenie wniosku do SEC.
„W rezultacie Spółka doświadczyła zakłóceń w systemie zarządzania dealerami („DMS”) hostowanym przez CDK, który obsługuje krytyczne operacje dealerskie, w tym te wspierające funkcje sprzedaży, zapasów i księgowości, a także system zarządzania relacjami z klientami („CRM”). Wszyscy dealerzy Spółki są otwarci i działają, stosując rozwiązania minimalizujące zakłócenia spowodowane awarią CDK” – powiedział w tym samym Sonic Automotive Złożenie wniosku do SEC.
CDK ostrzega również, że ugrupowania zagrażające dzwonią do dealerów udających agentów lub partnerów CDK w celu uzyskania nieautoryzowanego dostępu do systemów.
O gangu ransomware BlackSuit
Powszechnie uważa się, że wprowadzony na rynek w maju 2023 r. BlackSuit stanowi rebranding oprogramowania ransomware Royal, które samo w sobie jest uważane za bezpośredniego następcę niesławnego syndykatu cyberprzestępczego Conti. Ten zorganizowany gang, składający się z rosyjskich i wschodnioeuropejskich podmiotów stwarzających zagrożenie, stanowi ciągłe zagrożenie dla bezpieczeństwa.
W czerwcu 2023 r., pośród dyskusji na temat potencjalnej zmiany marki, grupa Royal Ransomware przetestowała nowy program szyfrujący o nazwie BlackSuit, co zbiegło się z ich atakiem na miasto Dallas w Teksasie. Po tych wydarzeniach zaprzestano używania nazwy Royal, a ugrupowania zagrażające skonsolidowały swoją działalność pod pseudonimem BlackSuit.
Do listopada 2023 r. poradnik wydany wspólnie przez FBI i CISA rzucił światło na powiązania między Royal i BlackSuit, zwracając uwagę na znaczne podobieństwa w taktyce i kodowaniu w ich programach szyfrujących. W tym poradniku powiązano także gang oprogramowania ransomware Royal z atakami na ponad 350 organizacji na całym świecie od września 2022 r., w ramach których żądano okupu przekraczającego 275 mln dolarów.
Wyzwania cyberbezpieczeństwa stojące przed sieciami uniwersyteckimi
Przejście z Royal na BlackSuit oznacza strategiczne posunięcie cyberprzestępców, mające na celu kontynuowanie nielegalnej działalności pod nową przykrywką, utrzymując niebezpieczną obecność w cyfrowym świecie.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
