Bij een recente cyberaanvalupdate is CDK Global zwaar getroffen door de BlackSuit-ransomwarebende, waardoor een aanzienlijke IT-storing is ontstaan die de activiteiten van autodealers in Noord-Amerika heeft verstoord. Meerdere bronnen, die om anonimiteit vroegen, hebben de betrokkenheid van de ransomwaregroep bevestigd.
Update voor cyberaanval: CDK wordt getroffen door BlackSuit-ransomwarebende
Bloomberg meldde dat CDK Global momenteel onderhandelt met de BlackSuit-ransomwarebende om een decryptor te beveiligen en ervoor te zorgen dat er geen gestolen gegevens lekken.
De lopende onderhandelingen komen in de nasleep van de ransomware-aanval, die CDK dwong om aanvankelijk zijn IT-systemen en datacentra af te sluiten om de verspreiding van de aanval een halt toe te roepen. Ondanks pogingen om de dienstverlening te herstellen heeft woensdag een tweede cyberaanval van BlackSuit plaatsgevonden ransomware dwong CDK om al zijn IT-systemen opnieuw af te sluiten, wat gevolgen had voor het autodealerplatform.
CDK Global, een toonaangevende leverancier van software-as-a-service (SaaS), faciliteert autodealers bij het beheren van verschillende operationele aspecten, waaronder verkoop, financiering, inventaris, service en backofficefuncties. Momenteel nemen dealers offline hun toevlucht tot handmatige handelingen met pen en papier.
Bovendien hebben twee van de grootste openbare autodealerbedrijven, Penske Automotive Group en Sonic Automotive, gisteren onthuld dat zij ook door deze storingen zijn getroffen. CDK blijft updates verstrekken terwijl ze ernaar streven de situatie snel op te lossen.
“Ons Premier Truck Group-bedrijf maakt gebruik van het dealerbeheersysteem van CDK, dat verstoord is. We hebben onmiddellijk voorzorgsmaatregelen genomen om onze systemen te beschermen en zijn een onderzoek naar het incident gestart, welke inspanningen nog steeds gaande zijn. Premier Truck Group heeft zijn responsplannen voor bedrijfscontinuïteit geïmplementeerd en blijft op alle locaties opereren via handmatige of alternatieve processen die zijn ontwikkeld om op dergelijke incidenten te reageren”, aldus Penske in een SEC-aanvraag.
“Als gevolg hiervan ondervond het bedrijf verstoringen van zijn dealermanagementsysteem (“DMS”), gehost door CDK, dat cruciale dealeractiviteiten ondersteunt, waaronder de activiteiten ter ondersteuning van verkoop-, voorraad- en boekhoudfuncties en zijn klantrelatiebeheer (“CRM”)-systeem. Alle dealers van het bedrijf zijn open en werken met behulp van tijdelijke oplossingen om de verstoring veroorzaakt door deze CDK-storing tot een minimum te beperken”, aldus Sonic Automotive in dezelfde publicatie. SEC-aanvraag.
CDK waarschuwt ook dat bedreigingsactoren dealers bellen die zich voordoen als CDK-agenten of aangesloten bedrijven om ongeautoriseerde toegang tot systemen te verkrijgen.
Over de BlackSuit-ransomwarebende
BlackSuit, gelanceerd in mei 2023, wordt algemeen beschouwd als een rebranding van de ransomware-operatie Royal, die zelf wordt beschouwd als een directe opvolger van het beruchte cybercriminaliteitssyndicaat Conti. Deze georganiseerde bende, bestaande uit Russische en Oost-Europese dreigingsactoren, is een aanhoudend veiligheidsprobleem.
In juni 2023 testte de Royal Ransomware-groep, te midden van discussies rond een mogelijke rebranding, een nieuwe encryptor genaamd BlackSuit, die samenviel met hun aanval op de stad Dallas, Texas. Na deze gebeurtenissen werd de naam Royal niet meer gebruikt en consolideerden de dreigingsactoren hun operaties onder de naam BlackSuit.
In november 2023 wierp een gezamenlijk advies van de FBI en de CISA licht op de connectie tussen Royal en BlackSuit, waarbij aanzienlijke overeenkomsten werden opgemerkt in tactieken en codering binnen hun encryptors. Dit advies bracht de Royal ransomware-bende sinds september 2022 ook in verband met aanvallen op meer dan 350 organisaties wereldwijd, waarbij losgeld werd geëist van meer dan $ 275 miljoen.
Cybersecurity-uitdagingen waarmee universitaire netwerken worden geconfronteerd
De overgang van Royal naar BlackSuit markeert een strategische stap van de cybercriminelen om hun illegale activiteiten onder een nieuw jasje voort te zetten en hun gevaarlijke aanwezigheid in de digitale wereld te behouden.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
