Περαιτέρω ενημερώσεις προστέθηκαν στο κάτω μέρος του άρθρου.
Ο πάροχος λογισμικού αντιπροσωπείας αυτοκινήτων CDK Global επλήγη από μια μαζική κυβερνοεπίθεση, με αποτέλεσμα η εταιρεία να κλείσει τα συστήματά της και να μην μπορούν οι πελάτες να λειτουργήσουν κανονικά την επιχείρησή τους.
Η CDK Global παρέχει στους πελάτες της αυτοκινητοβιομηχανίας μια πλατφόρμα SaaS που χειρίζεται όλες τις πτυχές της λειτουργίας μιας αντιπροσωπείας αυτοκινήτων, συμπεριλαμβανομένου του CRM, της χρηματοδότησης, της μισθοδοσίας, της υποστήριξης και εξυπηρέτησης, του αποθέματος και των λειτουργιών back
office
.
Η εταιρεία χρησιμοποιείται από περισσότερες από 15.000 αντιπροσωπείες αυτοκινήτων στη Βόρεια Αμερική και έχει χιλιάδες υπαλλήλους σε όλη τη χώρα.
Για να χρησιμοποιήσουν τις υπηρεσίες του CDK, οι αντιπροσωπείες αυτοκινήτων διαμορφώνουν ένα VPN πάντα ενεργό στα κέντρα δεδομένων του παρόχου SaaS, επιτρέποντας στις τοπικά εγκατεστημένες εφαρμογές τους να έχουν πρόσβαση στην πλατφόρμα.
Χθες το βράδυ και μέχρι σήμερα το πρωί, η CDK Global υπέστη κυβερνοεπίθεση που την έκανε να κλείσει τα συστήματα πληροφορικής, τα τηλέφωνα και τις εφαρμογές της για να αποτρέψει την εξάπλωση της επίθεσης.
Brad Holton, Διευθύνων Σύμβουλος της
Αντιπροσωπεία Proton IT
μια εταιρεία παροχής υπηρεσιών κυβερνοασφάλειας και πληροφορικής για αντιπροσωπείες αυτοκινήτων, είπε στην BleepingComputer ότι η επίθεση προκάλεσε τη CDK να θέσει εκτός σύνδεσης τα δύο κέντρα δεδομένων της περίπου στις 2 π.μ. χθες το βράδυ.
Εργαζόμενοι σε πολλές αντιπροσωπείες αυτοκινήτων είπαν επίσης στην BleepingComputer ότι η CDK δεν έχει μοιραστεί πολλές πληροφορίες πέρα από το να στείλει ένα email προειδοποίησης ότι υπέστησαν ένα περιστατικό στον κυβερνοχώρο.
“Αυτή τη στιγμή αντιμετωπίζουμε ένα περιστατικό στον κυβερνοχώρο. Από προσοχή και ανησυχία για τους πελάτες μας, έχουμε κλείσει την πλειονότητα των συστημάτων μας”, αναφέρει ένα email που κοινοποιήθηκε στο BleepingComputer.
«Αυτή τη στιγμή αξιολογούμε τον συνολικό αντίκτυπο και επί του παρόντος δεν έχουμε ETA».
Μερικοί από αυτούς τους υπαλλήλους έχουν επίσης μοιραστεί τις ανησυχίες τους ότι οι παράγοντες απειλών θα μπορούσαν να χρησιμοποιήσουν το πάντα ενεργό VPN για να περιστραφούν στο εσωτερικό δίκτυο των αντιπροσωπειών αυτοκινήτων.
Ένας επαγγελματίας πληροφορικής για μια αντιπροσωπεία είπε στο BleepingComputer Το CDK τους συμβούλεψε να αποσυνδέσουν το πάντα ενεργό VPN χωρίς προσοχή.
Ο Holton εξήγησε ότι το λογισμικό CDK που εκτελείται σε
συσκευές
έχει δικαιώματα διαχειριστή που χρησιμοποιούνται για την ανάπτυξη ενημερώσεων, γεγονός που θα μπορούσε να εξηγήσει γιατί το CDK συνιστά την αποσύνδεση από τα κέντρα δεδομένων.
Ενώ ορισμένοι χρήστες έχουν δηλώσει ότι μπορούν να συνδεθούν με παλιά διαπιστευτήρια που αναβαθμίστηκαν κατά τη μετάβαση του CDK σε μια σύγχρονη πλατφόρμα single-sign-on, το BleepingComputer ενημερώθηκε ότι η εφαρμογή δεν λειτουργεί όπως αναμενόταν.
Εάν έχετε οποιαδήποτε πληροφορία σχετικά με αυτό το περιστατικό ή άλλες άγνωστες επιθέσεις, μπορείτε να επικοινωνήσετε μαζί μας εμπιστευτικά μέσω του Signal στο 646-961-3731 ή στο
.
Εκτεταμένη αναστάτωση
Η διακοπή έχει οδηγήσει σε εκτεταμένη αναστάτωση μεταξύ των αντιπροσωπειών αυτοκινήτων που χρησιμοποιούν την πλατφόρμα τους για να παρακολουθούν και να παραγγέλνουν ανταλλακτικά αυτοκινήτων, να πραγματοποιούν νέες πωλήσεις και να προσφέρουν χρηματοδότηση.
Οι εργαζόμενοι ανέφεραν στο Reddit ότι δεν είχαν τίποτα να κάνουν ή αναγκάστηκαν να επιστρέψουν στο χαρτί και το μολύβι. Ορισμένες αντιπροσωπείες στέλνουν τους υπαλλήλους στο σπίτι για την ημέρα λόγω των διακοπών.
“Είμαστε σχεδόν σε αυτό το σημείο… χωρίς ανταλλακτικά, χωρίς RO, χωρίς χρόνους… απλά νεκρά οχήματα χωρίς τίποτα να επιδείξουμε ή ανταλλακτικά για να τα επισκευάσουμε”, δημοσίευσε ένας υπάλληλος αντιπροσωπείας στο
Reddit
.
“Υπολογιστικά φύλλα του Excel και δημοσιεύστε τις σημειώσεις για τυχόν
εξαρτήματα
που διανέμουμε. Τυχόν μεγάλες δουλειές δεν γίνονται.”
σχολίασε ένας άλλος υπάλληλος
.
Αν και δεν έχει υπάρξει επίσημη δήλωση από το CDK, φημολογείται ότι η εταιρεία υπέστη επίθεση ransomware που επηρέασε επίσης τα αντίγραφα ασφαλείας της.
Το BleepingComputer δεν μπόρεσε να επιβεβαιώσει αυτές τις πληροφορίες ανεξάρτητα, αλλά αν επρόκειτο για επίθεση ransomware, οι διακοπές πιθανότατα θα διαρκέσουν για μέρες, αν όχι την επόμενη εβδομάδα και περισσότερο.
Όταν συμμορίες ransomware παραβιάζουν τα εταιρικά δίκτυα, εξαπλώνονται αθόρυβα σε άλλες συσκευές ενώ κλέβουν εταιρικά δεδομένα.
Μόλις κλαπούν όλα τα δεδομένα και οι φορείς απειλών αποκτήσουν διαχειριστικά προνόμια, κρυπτογραφούν όλες τις συσκευές στο δίκτυο, αφήνοντας πίσω σημειώσεις λύτρων με οδηγίες για την
επικοινωνία
με τους χάκερ.
Οι κρυπτογραφημένες συσκευές και τα κλεμμένα δεδομένα χρησιμοποιούνται σε συστήματα διπλής εκβίασης, όπου οι φορείς απειλών απαιτούν πληρωμή λύτρων για να παράσχουν έναν αποκρυπτογραφητή και να διαγράψουν και να μην δημοσιεύσουν τυχόν κλεμμένα δεδομένα.
Αυτές οι διαπραγματεύσεις μπορεί να διαρκέσουν εβδομάδες και εάν δεν καταβληθούν λύτρα, οι φορείς απειλών τελικά διαρρέουν τα εταιρικά δεδομένα, τα οποία συνήθως περιλαμβάνουν τα προσωπικά στοιχεία των εργαζομένων και, ενδεχομένως, των πελατών.
Ενημέρωση 19/6/24:
Το CDK μοιράστηκε την ακόλουθη δήλωση με το BleepingComputer:
“Διερευνούμε ενεργά ένα περιστατικό στον κυβερνοχώρο. Λόγω μεγάλης προσοχής και ανησυχίας για τους πελάτες μας, έχουμε κλείσει τα περισσότερα συστήματα μας και εργαζόμαστε επιμελώς για να θέσουμε τα πάντα σε λειτουργία όσο το δυνατόν γρηγορότερα.” – CDK.
Ενημέρωση 19/6/24
5
:24 μ.μ. ET:
Η CDK μοιράστηκε μια ενημέρωση με πελάτες δηλώνοντας ότι έχουν αποκαταστήσει τηλέφωνα CDK, DMS και Digital Retail. Δήλωσαν επίσης ότι οι συνδέσεις Unify και DMS είναι πλέον διαθέσιμες.
Ωστόσο, συνεχίζουν να διεξάγουν δοκιμές σε όλες τις άλλες εφαρμογές πριν τις επαναφέρουν στο διαδίκτυο.
VIA:
bleepingcomputer.com
0