Η συμμορία
ransomware
BlackSuit βρίσκεται πίσ
ω
από τη μαζική διακοπή της πληροφορικής της CDK Global και τις διαταραχές στις αντιπροσωπείες αυτοκινήτων σε όλη τη Βόρεια Αμερική, σύμφωνα με πολλές πηγές που γνωρίζουν το θέμα.
Οι ίδιες πηγές, που παρείχαν πληροφορίες υπό τον όρο της ανωνυμίας, είπαν στο BleepingComputer ότι η CDK διαπραγματεύεται αυτήν τη στιγμή με τη συμμορία ransomware για να λάβει αποκρυπτογραφητή και να μην διαρρεύσει κλεμμένα δεδομένα.
Ενώ η BleepingComputer είναι η πρώτη που ανέφερε ότι το BlackSuit βρίσκεται πίσω από την επίθεση, η είδηση ότι το CDK διαπραγματεύεται με τους παράγοντες απειλών αποκαλύφθηκε από
Bloomberg
εχθές.
Οι διαπραγματεύσεις έρχονται μετά την επίθεση ransomware BlackSuit που ανάγκασε την CDK να κλείσει τα συστήματα πληροφορικής και τα κέντρα δεδομένων της για να αποτρέψει την εξάπλωση της επίθεσης, συμπεριλαμβανομένης της πλατφόρμας αντιπροσωπείας αυτοκινήτων της.
Η CDK είναι ένας πάροχος λογισμικού ως υπηρεσία (SaaS) του οποίου η πλατφόρμα χρησιμοποιείται από αντιπροσωπείες αυτοκινήτων για την εκτέλεση όλων των πτυχών της λειτουργίας του, συμπεριλαμβανομένων των λειτουργιών πωλήσεων, χρηματοδότησης, αποθέματος, εξυπηρέτησης και υποστήριξης.
Καθώς η πλατφόρμα έχει πλέον κλείσει, οι αντιπροσωπείες αυτοκινήτων έπρεπε να στραφούν σε
στυλ
ό και χαρτί για να πραγματοποιήσουν τις δραστηριότητές τους, με τους αγοραστές αυτοκινήτων να λένε στο BleepingComputer ότι δεν μπορούσαν να αγοράσουν αυτοκίνητο λόγω της διακοπής λειτουργίας ή να λάβουν σέρβις για υπάρχοντα αυτοκίνητα.
Δύο από τις μεγαλύτερες δημόσιες εταιρείες αντιπροσωπείας αυτοκινήτων, η Penske Automotive Group και η Sonic Automotive, αποκάλυψαν χθες ότι και αυτές επηρεάστηκαν από τις διακοπές.
“Η επιχείρηση του Premier Truck Group χρησιμοποιεί το σύστημα διαχείρισης αντιπροσώπων της CDK το οποίο έχει διαταραχθεί”, δήλωσε ο Penske σε μια
κατάθεση SEC
.
“Λάβαμε αμέσως προληπτικά μέτρα περιορισμού για να προστατεύσουμε τα συστήματά μας και ξεκινήσαμε έρευνα για το περιστατικό, η οποία συνεχίζεται. τέτοια περιστατικά».
“Ως αποτέλεσμα, η Εταιρεία αντιμετώπισε διακοπές στο σύστημα διαχείρισης αντιπροσώπων της (“DMS”) που φιλοξενείται από την CDK, το οποίο υποστηρίζει κρίσιμες λειτουργίες αντιπροσωπείας, συμπεριλαμβανομένων εκείνων που υποστηρίζουν λειτουργίες πωλήσεων, αποθέματος και λογιστικής και το σύστημα διαχείρισης σχέσεων με τους πελάτες (“CRM”).” ανέφερε η Sonic Automotive σε ένα
κατάθεση SEC
.
“Όλες οι αντιπροσωπείες της Εταιρείας είναι ανοιχτές και λειτουργούν χρησιμοποιώντας λύσεις για την ελαχιστοποίηση της διακοπής που προκαλείται από αυτή τη διακοπή του CDK.”
Η BleepingComputer επικοινώνησε με το CDK για να μάθει περισσότερα σχετικά με την επίθεση ransomware, αλλά δεν έχει λάβει ακόμη απάντηση.
Η συμμορία ransomware BlackSuit
Το BlackSuit κυκλοφόρησε τον Μάιο του 2023 και πιστεύεται ότι είναι ένα rebrand της λειτουργίας Royal ransomware.
Το Royal Ransomware, και επομένως το BlackSuit, πιστεύεται ότι είναι ο άμεσος διάδοχος του περιβόητου συνδικάτου
Conti
cybercrime, μιας οργανωμένης συμμορίας εγκλήματος στον κυβερνοχώρο που αποτελείται από Ρώσους και Ανατολικοευρωπαίους παράγοντες απειλών.
Τον Ιούνιο του 2023, η επιχείρηση Royal Ransomware άρχισε να δοκιμάζει έναν νέο κρυπτογραφητή που ονομάζεται BlackSuit εν μέσω φημών ότι σχεδίαζαν να κάνουν νέα επωνυμία με νέο όνομα αφού επιτέθηκαν στην πόλη του Ντάλας του Τέξας.
Έκτοτε, οι επιθέσεις με το όνομα Royal εξαφανίστηκαν, με τους ηθοποιούς να εργάζονται πλέον με το όνομα BlackSuit.
Τον Νοέμβριο του 2023, το FBI και η
CISA
αποκάλυψαν σε μια κοινή συμβουλευτική ότι η Royal και η BlackSuit μοιράζονται παρόμοιες τακτικές και αλληλοεπικαλύψεις κωδικοποίησης στους κρυπτογραφητές τους.
Η συμβουλή συνέδεσε επίσης τη συμμορία Royal ransomware με επιθέσεις σε τουλάχιστον 350 οργανισμούς παγκοσμίως από τον Σεπτέμβριο του 2022 και περισσότερα από 275 εκατομμύρια δολάρια σε αιτήματα λύτρων.
VIA:
bleepingcomputer.com
0