แฮกเกอร์ 'BlackSuite' ที่อยู่เบื้องหลังการโจมตีทางไซเบอร์ทั่วโลกของ CDK ที่ส่งผลกระทบต่อตัวแทนจำหน่ายรถยนต์ถูกเปิดเผย

การโจมตีทางไซเบอร์เมื่อเร็วๆ นี้ต่อ CDK Global ซึ่งเป็นผู้ให้บริการซอฟต์แวร์ชั้นนำสำหรับตัวแทนจำหน่ายรถยนต์ ได้ทำให้เกิดการหยุดชะงักครั้งใหญ่ในการดำเนินงานทั่วสหรัฐอเมริกา เหตุการณ์นี้เน้นย้ำถึงแนวโน้มการโจมตีแรนซัมแวร์ที่เพิ่มขึ้นซึ่งมุ่งเป้าไปที่บริษัทขนาดใหญ่ผ่านทางซัพพลายเออร์ซอฟต์แวร์เบื้องหลัง

ซอฟต์แวร์ของ CDK Global มีความสำคัญอย่างยิ่งต่อตัวแทนจำหน่ายรถยนต์ การอำนวยความสะดวกในการขายและการประมวลผลธุรกรรม ผลจากการแฮ็ก ทำให้ตัวแทนจำหน่ายจำนวนมากถูกบังคับให้เปลี่ยนกลับไปใช้วิธีการประมวลผลแบบแมนนวล ซึ่งส่งผลกระทบต่อประสิทธิภาพและการบริการลูกค้า ตามรายงานของสื่อมวลชนท้องถิ่น

ขอแนะนำ BlackSuit: กลุ่มเบื้องหลังการโจมตี

กลุ่มอาชญากรไซเบอร์ที่รับผิดชอบต่อการแฮ็ก CDK Global รู้จักกันในชื่อ BlackSuit BlackSuit ถือกำเนิดขึ้นในเดือนพฤษภาคมปี 2023 ถือเป็นองค์กรที่ค่อนข้างใหม่ในโลกอาชญากรรมไซเบอร์ ซึ่งเชื่อกันว่าเป็นธุรกิจแยกจากกลุ่มแฮ็กเกอร์ชื่อดังที่เชื่อมโยงกับรัสเซียอย่าง RoyalLocker RoyalLocker มีประวัติฉาวโฉ่ มีต้นกำเนิดมาจากแก๊ง Conti ที่อุดมสมบูรณ์และมุ่งเป้าไปที่บริษัทอเมริกันอย่างกว้างขวาง นักวิเคราะห์มองว่า RoyalLocker เป็นหนึ่งในกลุ่มแรนซัมแวร์ที่คงอยู่ยาวนานที่สุด ซึ่งตามหลังเพียง LockBit และ ALPHV เท่านั้น

ในทางตรงกันข้าม BlackSuit ดูดุดันน้อยกว่ารุ่นก่อนๆ ไซต์ข้อมูลรั่วไหลของกลุ่มระบุว่ามีเหยื่อน้อยกว่าเมื่อเปรียบเทียบกับแก๊งแรนซัมแวร์ขนาดใหญ่ บ่งชี้ว่าขาดเครือข่ายพันธมิตรการแฮ็กที่กว้างขวางซึ่งเหมือนกับกลุ่มอื่น ๆ Kimberly Goody หัวหน้าฝ่ายวิเคราะห์อาชญากรรมไซเบอร์ที่ Mandiant Intelligence ตั้งข้อสังเกตว่าเหยื่อของ BlackSuit ส่วนใหญ่อาศัยอยู่ในสหรัฐอเมริกา ตามมาด้วยสหราชอาณาจักรและแคนาดา และครอบคลุมภาคส่วนต่างๆ

ขอบเขตกิจกรรมของ BlackSuit

บริษัทรักษาความปลอดภัย Recorded Future รายงานว่า BlackSuit ละเมิดองค์กรอย่างน้อย 95 แห่งทั่วโลก อย่างไรก็ตาม จำนวนเหยื่อที่แท้จริงอาจสูงกว่านี้มาก การโจมตีเหล่านี้ส่วนใหญ่มุ่งเป้าไปที่องค์กรของอเมริกา โดยเฉพาะอย่างยิ่งในภาคส่วนต่างๆ เช่น สินค้าอุตสาหกรรมและการศึกษา ดังที่ระบุไว้ในบล็อกโดยบริษัทรักษาความปลอดภัย ReliaQuest

BlackSuit ยังมีบทบาทในฟอรัมใต้ดิน โดยมีผู้คุกคามที่พูดภาษารัสเซียอยู่ในเครือของกลุ่มที่กำลังมองหาพันธมิตรเพื่อเข้าถึงบริษัทอื่น ๆ มากขึ้น ล่าสุดเมื่อสัปดาห์ที่แล้ว ตาม Goody

วิธีการดำเนินการของ BlackSuit

BlackSuit ใช้กลยุทธ์ที่เรียกว่า "การขู่กรรโชกสองครั้ง" สิ่งนี้เกี่ยวข้องกับการขโมยข้อมูลที่ละเอียดอ่อนจากองค์กรเหยื่อ การล็อคระบบ และการขู่ว่าจะเปิดเผยข้อมูลที่ถูกขโมยไป เว้นแต่จะมีการจ่ายค่าไถ่ นอกจากนี้ BlackSuit ยังมอบโครงสร้างพื้นฐานในการแฮ็กและการสนับสนุนที่เกี่ยวข้องกับการขู่กรรโชกแก่กลุ่มพันธมิตรขนาดเล็กหรือที่เรียกว่าบริษัทในเครือ การสนับสนุนนี้รวมถึงแหล่งข้อมูลสำหรับการคุกคามเหยื่อหรือการทำลายเว็บไซต์ของพวกเขาเพื่อเพิ่มแรงกดดันในการจ่ายค่าไถ่

การแฮ็กของ CDK Global เป็นการเตือนใจอย่างชัดเจนถึงภัยคุกคามที่เพิ่มขึ้นจากการโจมตีของแรนซัมแวร์ โดยเฉพาะอย่างยิ่งการกำหนดเป้าหมายไปที่ซัพพลายเออร์ซอฟต์แวร์ที่สำคัญ องค์กรต่างๆ จะต้องระมัดระวังและปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์เพื่อป้องกันภัยคุกคามที่พัฒนาอยู่เหล่านี้

แฮกเกอร์ 'BlackSuite' ที่อยู่เบื้องหลังการโจมตีทางไซเบอร์ทั่วโลกของ CDK ที่ส่งผลกระทบต่อตัวแทนจำหน่ายรถยนต์ถูกเปิดเผย ภาพหน้าจอ