Đã phát hiện hacker 'BlackSuite' đằng sau cuộc tấn công mạng toàn cầu CDK ảnh hưởng đến các đại lý ô tô

Một cuộc tấn công mạng gần đây nhằm vào CDK Global , nhà cung cấp phần mềm hàng đầu cho các đại lý ô tô, đã gây ra sự gián đoạn đáng kể trong hoạt động trên khắp Hoa Kỳ. Vụ việc này nêu bật xu hướng ngày càng tăng của các cuộc tấn công ransomware nhắm vào các công ty lớn thông qua các nhà cung cấp phần mềm hậu trường của họ.

Phần mềm của CDK Global rất quan trọng đối với các đại lý ô tô, tạo điều kiện thuận lợi cho việc bán hàng và xử lý giao dịch. Theo báo chí địa phương, do vụ hack, nhiều đại lý đã buộc phải quay lại các phương pháp xử lý thủ công, ảnh hưởng đến hiệu quả và dịch vụ khách hàng của họ.

Giới thiệu BlackSuit: Nhóm đứng sau cuộc tấn công

Nhóm tội phạm mạng chịu trách nhiệm về vụ hack CDK Global được gọi là BlackSuit. Nổi lên vào tháng 5 năm 2023, BlackSuit là một thực thể tương đối mới trong thế giới tội phạm mạng, được cho là một nhánh của nhóm hack khét tiếng có liên kết với Nga, RoyalLocker. Bản thân RoyalLocker có một lịch sử khét tiếng, bắt nguồn từ băng đảng Conti hùng mạnh và nhắm mục tiêu rộng rãi vào các công ty Mỹ. Các nhà phân tích coi RoyalLocker là một trong những nhóm ransomware dai dẳng nhất, chỉ xếp sau LockBit và ALPHV.

Ngược lại, BlackSuit có vẻ ít hung hãn hơn so với những người tiền nhiệm. Trang web rò rỉ dữ liệu của nhóm cho thấy có ít nạn nhân hơn so với các nhóm ransomware lớn hơn, cho thấy nhóm này thiếu mạng lưới đối tác hack rộng khắp như các nhóm khác. Kimberly Goody, người đứng đầu phân tích tội phạm mạng tại Mandiant Intelligence, lưu ý rằng hầu hết nạn nhân của BlackSuit đều ở Mỹ, tiếp theo là Anh và Canada, và trải rộng trên nhiều lĩnh vực khác nhau.

Phạm vi hoạt động của BlackSuit

Công ty bảo mật Recorded Future báo cáo rằng BlackSuit đã xâm phạm ít nhất 95 tổ chức trên toàn thế giới. Tuy nhiên, con số nạn nhân thực tế có thể còn cao hơn nhiều. Phần lớn các cuộc tấn công này nhắm vào các tổ chức của Mỹ, đặc biệt là trong các lĩnh vực như hàng công nghiệp và giáo dục, như đã lưu ý trong blog của công ty bảo mật ReliaQuest.

Theo Goody, BlackSuit cũng hoạt động tích cực trong các diễn đàn ngầm, với những kẻ đe dọa nói tiếng Nga liên kết với nhóm đang tìm kiếm quan hệ đối tác để có quyền truy cập vào nhiều công ty hơn, gần đây nhất là vào tuần trước, theo Goody.

Phương thức hoạt động của BlackSuit

BlackSuit sử dụng một chiến thuật được gọi là “tống tiền kép”. Điều này liên quan đến việc đánh cắp dữ liệu nhạy cảm từ tổ chức nạn nhân, khóa hệ thống của tổ chức đó và sau đó đe dọa rò rỉ thông tin bị đánh cắp trừ khi trả tiền chuộc. Ngoài ra, BlackSuit cung cấp cơ sở hạ tầng hack và hỗ trợ liên quan đến tống tiền cho các nhóm đối tác nhỏ hơn, được gọi là các chi nhánh. Sự hỗ trợ này bao gồm các tài nguyên để quấy rối nạn nhân hoặc gỡ bỏ trang web của họ để tăng áp lực đòi tiền chuộc.

Vụ hack CDK Global là một lời nhắc nhở rõ ràng về mối đe dọa ngày càng tăng do các cuộc tấn công bằng ransomware, đặc biệt là những cuộc tấn công nhắm vào các nhà cung cấp phần mềm quan trọng. Các tổ chức phải luôn cảnh giác và tăng cường các biện pháp an ninh mạng để bảo vệ khỏi những mối đe dọa đang gia tăng này.

Đã phát hiện hacker 'BlackSuite' đằng sau cuộc tấn công mạng toàn cầu CDK ảnh hưởng đến các đại lý ô tô ảnh chụp màn hình