CDK Global против хакеров: кто победит в отчаянной кибербитве?

Вчера компания CDK Global заявила, что её система управления дилерскими центрами (DMS), пострадавшая в результате массового сбоя после атаки программ-вымогателей , будет восстановлена к четвергу, 4-го июля, для всех автодилеров. Кроме того, компания активно работает над восстановлением доступа к другим пострадавшим приложениям, включая систему управления взаимоотношениями с клиентами (CRM), ONE-EIGHTY и сервисные решения.

Лиза Финни, представительница CDK Global, сообщила, что компания продолжает поэтапный процесс восстановления и стремительными темпами подключает дилеров к системе управления дилерскими центрами (DMS). Она отметила, что ожидается, что все дилеры будут подключены до вечера среды, 3 июля, или раннего утра четверга, 4 июля.

Платформа компании, предоставляющая программное обеспечение как услугу (SaaS), используется более чем 15 000 автодилерами по всей Северной Америке для управления своими операциями, включая продажи, финансирование, инвентаризацию, обслуживание и бэк-офисные функции.

Из-за масштабного сбоя после атаки в прошлом месяце, который вынудил CDK отключить свои IT-системы и дата-центры, автодилерам, использующим систему управления дилерскими центрами, пришлось перейти на бумажный документооборот. Покупатели не могли приобрести автомобили или получить обслуживание уже купленных транспортных средств.

Во время попыток восстановления услуг, CDK столкнулась уже со второй кибератакой, что снова заставило компанию отключить все IT-системы для смягчения последствий. CDK также предупредила, что злоумышленники начали использовать социальную инженерию, звоня автодилерам и выдавая себя за представителей или агентов CDK, чтобы получить несанкционированный доступ к их системам.

Компания пока официально не раскрывает, кто стоял за июньским взломом, однако, по данным нескольких источников, знакомых с ситуацией, атаку на CDK Global организовала группа вымогателей BlackSuit. Кроме того, те же анонимные источники утверждают, что компания ведёт переговоры с хакерами, чтобы получить дешифратор и предотвратить публичную утечку похищенных данных.

Группа BlackSuit появилась в мае 2023 года и считается ребрендингом Royal Ransomware и прямым преемником известного киберпреступного синдиката Conti. В июне 2023 года, после атаки на город Даллас, хакеры Royal начали тестирование нового шифровальщика под названием BlackSuit на фоне слухов о ребрендинге. С тех пор злоумышленники работают под именем BlackSuit, а атаки под именем Royal Ransomware полностью прекратились.

Совместное консультативное сообщение ФБР и CISA, опубликованное в ноябре 2023 года, показало, что Royal и BlackSuit используют схожие тактики, а их шифровальщики имеют очевидные совпадения в коде. В этом же сообщении правоохранители связали Royal с атаками на более чем 350 организаций по всему миру с сентября 2022 года и более чем $275 млн в требованиях выкупа.