Remiantis daugeliu šaltinių, susipažinusių su šiuo klausimu, „BlackSuit“ išpirkos reikalaujančių programų gauja slypi už didžiulius „CDK Global“ IT veiklos sutrikimus ir automobilių prekybos sutrikimus visoje Šiaurės Amerikoje.
Tie patys šaltiniai, kurie pateikė informaciją su sąlyga likti anonimiški, „BleepingComputer“ sakė, kad CDK šiuo metu derasi su išpirkos reikalaujančių programų gauja, kad gautų iššifratorių ir nenutekėtų pavogti duomenys.
Nors „BleepingComputer“ pirmasis praneša, kad „BlackSuit“ yra už atakos, naujieną, kad CDK derasi su grėsmės veikėjais, vakar atskleidė „Bloomberg“.
Derybos prasidėjo po to, kai „BlackSuit“ išpirkos reikalaujančios programinės įrangos ataka privertė CDK uždaryti IT sistemas ir duomenų centrus, kad būtų išvengta atakos plitimo, įskaitant automobilių prekybos platformą. Bendrovė trečiadienį bandė atkurti paslaugas, tačiau patyrė antrą kibernetinio saugumo incidentą, dėl kurio vėl buvo išjungtos visos IT sistemos.
CDK yra programinės įrangos kaip paslaugos (SaaS) tiekėjas, kurio platformą automobilių platintojai naudoja, kad galėtų vykdyti visus savo veiklos aspektus, įskaitant pardavimą, finansavimą, inventorizaciją, aptarnavimą ir biuro funkcijas.
Kadangi platforma dabar uždaryta, automobilių pardavėjai turėjo pereiti prie rašiklio ir popieriaus, kad galėtų vykdyti savo veiklą, o automobilių pirkėjai „BleepingComputer“ sakė, kad jie negali įsigyti automobilio dėl gedimo arba gauti esamų automobilių priežiūros.
Dvi didžiausios viešosios automobilių prekybos įmonės – „Penske Automotive Group“ ir „Sonic Automotive“ – vakar paskelbė, kad jos taip pat paveikė gedimus.
„Mūsų „Premier Truck Group“ verslas naudoja CDK platintojų valdymo sistemą, kuri buvo sutrikdyta“, – SEC pareiškime dalijosi Penske.
„Mes nedelsdami ėmėmės atsargumo priemonių, kad apsaugotume savo sistemas, ir pradėjome incidento tyrimą, kurio pastangos tebevyksta. „Premier Truck Group” įgyvendino savo veiklos tęstinumo reagavimo planus ir toliau dirba visose vietose taikydami rankinius arba alternatyvius procesus, sukurtus reaguoti į tokių incidentų“.
„Dėl to Bendrovė patyrė CDK priglobtos platintojų valdymo sistemos (toliau – DMS), kuri palaiko svarbias platinimo operacijas, įskaitant pardavimų, atsargų ir apskaitos funkcijas bei ryšių su klientais valdymo (CRM) sistemą, veikimo sutrikimus. pranešė Sonic Automotive SEC byloje.
„Visi bendrovės prekybos centrai yra atviri ir veikia, naudodamiesi probleminiais sprendimais, siekiant sumažinti trikdžius, kuriuos sukelia šis CDK gedimas.
CDK taip pat perspėja, kad grėsmės veikėjai skambina į atstovybes, kurios prisistato CDK agentais ar filialais, norėdami gauti neteisėtą prieigą prie sistemų.
„BleepingComputer“ susisiekė su CDK, kad sužinotų daugiau apie išpirkos reikalaujančią programinę įrangą, tačiau atsakymo dar negavo.
„BlackSuit“ išpirkos reikalaujančių programų gauja
„BlackSuit“ buvo paleista 2023 m. gegužę ir, kaip manoma, yra „Royal ransomware“ operacijos prekės ženklas.
Manoma, kad Royal Ransomware, taigi ir BlackSuit, yra tiesioginis liūdnai pagarsėjusio elektroninių nusikaltimų sindikato Conti, organizuotos elektroninių nusikaltimų gaujos, susidedančios iš Rusijos ir Rytų Europos grėsmės veikėjų, įpėdinis.
2023 m. birželio mėn. „Royal Ransomware“ operacija pradėjo bandyti naują šifruotoją, pavadintą „BlackSuit“, sklandant gandams, kad po to, kai užpuolė Dalaso miestą Teksase, jie planuoja pakeisti prekės ženklą nauju pavadinimu.
Nuo tada atakų karališkuoju vardu nebeliko, o grėsmės veikėjai dabar dirba su BlackSuit vardu.
2023 m. lapkritį FTB ir CISA bendrame patarime atskleidė, kad „Royal“ ir „BlackSuit“ turi panašią taktiką ir kodavimo sutapimus savo šifruočiuose.
Šis patarimas taip pat susiejo karališkąją išpirkos reikalaujančių programų gaują su išpuoliais prieš mažiausiai 350 organizacijų visame pasaulyje nuo 2022 m. rugsėjo mėn. ir daugiau nei 275 mln. USD išpirkos reikalavimu.