Ujawniono hakera „BlackSuite” stojącego za globalnym cyberatakiem na CDK wpływającym na salony samochodowe
Niedawny cyberatak na CDK Global , wiodącego dostawcę oprogramowania dla dealerów samochodowych, spowodował znaczne zakłócenia w działalności w całych Stanach Zjednoczonych. Incydent ten uwydatnia rosnącą tendencję do ataków ransomware na duże firmy za pośrednictwem ich zakulisowych dostawców oprogramowania.
Oprogramowanie CDK Global jest kluczowe dla salonów samochodowych, ułatwiając sprzedaż i obsługę transakcji. Jak wynika z doniesień lokalnej prasy, w wyniku włamania wielu dealerów zostało zmuszonych do powrotu do ręcznych metod przetwarzania, co odbiło się na ich wydajności i obsłudze klienta.
Spis treści
Przedstawiamy BlackSuit: grupa stojąca za atakiem
Grupa cyberprzestępcza odpowiedzialna za włamanie do CDK Global znana jest jako BlackSuit. BlackSuit, który pojawi się na rynku w maju 2023 r., jest stosunkowo nowym podmiotem w świecie cyberprzestępczości, uważanym za wydzieloną część osławionej powiązanej z Rosją grupy hakerskiej RoyalLocker. Sam RoyalLocker ma słynną historię, wywodzącą się z płodnego gangu Conti i szeroko atakującego amerykańskie firmy. Analitycy uważają RoyalLocker za jedną z najtrwalszych grup oprogramowania ransomware, ustępując jedynie LockBit i ALPHV.
Dla kontrastu, BlackSuit wydaje się mniej agresywny niż jego poprzednicy. Witryna grupy zajmująca się wyciekami danych wskazuje na mniejszą liczbę ofiar w porównaniu z większymi gangami zajmującymi się oprogramowaniem ransomware, co sugeruje, że brakuje jej rozbudowanej sieci partnerów hakerskich, którą można zaobserwować w przypadku innych grup. Kimberly Goody, szefowa działu analiz cyberprzestępczości w Mandiant Intelligence, zauważa, że większość ofiar BlackSuit ma siedziby w USA, Wielkiej Brytanii i Kanadzie i obejmuje różne sektory.
Zakres działalności BlackSuit
Firma ochroniarska Recorded Future informuje, że BlackSuit włamał się do co najmniej 95 organizacji na całym świecie. Rzeczywista liczba ofiar może być jednak znacznie wyższa. Jak zauważono na blogu firmy zajmującej się bezpieczeństwem ReliaQuest, większość tych ataków była wycelowana w organizacje amerykańskie, szczególnie w sektorach takich jak towary przemysłowe i edukacja.
Według Goody’ego BlackSuit był również aktywny na forach podziemnych, a rosyjskojęzyczni ugrupowania cyberprzestępcze powiązane z grupą szukały partnerstwa w celu uzyskania dostępu do większej liczby firm – jeszcze w ubiegłym tygodniu – według Goody’ego.
Sposób działania BlackSuit
BlackSuit stosuje taktykę znaną jako „podwójne wymuszenie”. Wiąże się to z kradzieżą wrażliwych danych od organizacji ofiary, zablokowaniem jej systemów, a następnie grożeniem ujawnieniem skradzionych informacji, jeśli nie zostanie zapłacony okup. Ponadto BlackSuit zapewnia infrastrukturę hakerską i wsparcie związane z wyłudzeniami mniejszym grupom partnerów, zwanym podmiotami stowarzyszonymi. Wsparcie to obejmuje zasoby umożliwiające nękanie ofiar lub zamykanie ich witryn internetowych w celu zwiększenia presji na zapłatę okupu.
Włamanie do CDK Global wyraźnie przypomina o rosnącym zagrożeniu stwarzanym przez ataki ransomware, szczególnie te wymierzone w dostawców oprogramowania o znaczeniu krytycznym. Organizacje muszą zachować czujność i ulepszyć swoje środki cyberbezpieczeństwa, aby chronić się przed tymi ewoluującymi zagrożeniami.
Ujawniono hakera „BlackSuite” stojącego za globalnym cyberatakiem na CDK wpływającym na salony samochodowe zrzutów ekranu
