Los concesionarios de automóviles estadounidenses sienten el dolor del ciberataque CDK


Al menos seis empresas han advertido que el impacto de un ataque de ransomware al proveedor de software de la industria automotriz CDK Global está impactando negativamente o interrumpiendo sus operaciones, según presentaciones recientes ante la Comisión de Bolsa y Valores.

En documentos publicados el viernes y lunes, seis importantes concesionarios de automóviles (Lithia Motors, Group 1 Automotive, Penske Automotive Group, Sonic Automotive, Asbury Automotive Group y AutoNation) anunciaron su compromiso con CDK. La compañía dijo que sus operaciones se vieron afectadas por el ataque.

El ataque de ransomware afecta a los concesionarios de automóviles de EE. UU. menos de una semana después de que CDK anunciara que había detectado un ataque cibernético y había suspendido la mayoría de las operaciones de los concesionarios “por precaución y preocupación” por sus clientes. [its] “Sistema”, según una declaración proporcionada a CyberScoop por Lisa Finney, gerente senior de comunicaciones externas de CDK.

El sitio de noticias de tecnología Bleeping Computer informó el sábado que el ataque a CDK Global fue llevado a cabo por el bien establecido grupo de ransomware BlackSuit. El viernes, Bloomberg informó que el grupo detrás del ataque había exigido “decenas de millones de dólares en rescate” a la empresa, que proporciona software a “aproximadamente 15.000” concesionarios de automóviles.

Alan Liska, analista de inteligencia de amenazas de Recorded Future, dijo a CyberScoop que BlackSuit está involucrado y llamó al grupo “ransomware como servicio de tamaño mediano”, pero aún así “ha causado una gran cantidad de víctimas”, dijo. .

Ni Finney ni la empresa matriz de CDK, Brookfield Business Partners, respondieron a las solicitudes de comentarios sobre el último impacto y las demandas de pago el lunes por la mañana.

Según SentinelOne, BlackSuit surgió como su propio ransomware a principios de abril o mayo de 2023 y puede ser un cambio de nombre de la operación inactiva de ransomware Royal. Según un aviso conjunto de noviembre de 2023 de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Royal apuntó a más de 350 víctimas conocidas en todo el mundo entre septiembre de 2022 y noviembre de 2023, y 275 millones supuestamente exigieron una extorsión de más de 10.000 dólares.

Se cree que el propio Royal es un cambio de marca de la operación de ransomware Conti o está conectado con ella, dijo Brett Callow, analista de amenazas de Emsisoft. Conti, cuyo sitio fue cerrado en 2022, es conocido por llevar a cabo ataques a gran escala en todo el mundo y se basa en Trickbot, que el gobierno de Estados Unidos dijo en septiembre de 2023 que tenía “vínculos” con la inteligencia rusa. operación de malware.

“Se cree que los Trajes Negros están asociados con la Operación Real, y se cree que la Operación Real está asociada con la Operación Conti”, dijo Callow. “Por lo tanto, es probable que CDK esté tratando con un grupo de ciberdelincuentes altamente experimentados y acostumbrados a negociar grandes demandas”.

Blacksuit aún no ha mencionado a CDK Global en el sitio web que utiliza para publicar mensajes sobre personas objetivo y datos sobre objetivos que no han pagado. Un representante de la empresa de ciberseguridad KELA dijo en un correo electrónico a CyberScoop el lunes que los Trajes Negros se han cobrado 76 víctimas desde mayo de 2023, la mayoría de ellas ciudadanos estadounidenses. El grupo informó de 18 víctimas en su sitio en mayo y siete más hasta junio, según datos recopilados por la empresa de ciberseguridad Checkpoint.

BlackSuit publicó recientemente una gran cantidad de datos y archivos internos supuestamente robados del departamento de policía de Kansas City, Kansas.

Esta historia se actualizó el 24 de junio de 2024 para reflejar las presentaciones ante la SEC del quinto y sexto concesionario de automóviles afectados por el ataque a CDK.

Autor: AJ Vicens AJ cubre las amenazas a los Estados-nación y el cibercrimen. Anteriormente, fue reportera de Mother Jones. Contáctenos en Signal/WhatsApp: (810-206-9411).



Fuente: https://cyberscoop.com/cdk-ransomware-car-dealers/