Le gang du ransomware BlackSuit est à l'origine de la panne informatique massive de CDK Global et des perturbations chez les concessionnaires automobiles à travers l'Amérique du Nord, selon plusieurs sources proches du dossier.
Les mêmes sources, qui ont fourni des informations sous couvert d'anonymat, ont déclaré à BleepingComputer que CDK négociait actuellement avec le gang des ransomwares pour recevoir un décrypteur et ne pas divulguer les données volées.
Les négociations interviennent après que l'attaque du ransomware BlackSuit a forcé CDK à fermer ses systèmes informatiques et ses centres de données pour empêcher la propagation de l'attaque, y compris sa plateforme de concession automobile. L'entreprise a tenté de rétablir ses services mercredi, mais a subi un deuxième incident de cybersécurité, l'obligeant à arrêter à nouveau tous les systèmes informatiques.
CDK est un fournisseur de logiciels en tant que service (SaaS) dont la plateforme est utilisée par les concessionnaires automobiles pour gérer tous les aspects de ses opérations, y compris les fonctions de vente, de financement, d'inventaire, de service et de back-office.
La plateforme étant désormais fermée, les concessionnaires automobiles ont dû utiliser un stylo et du papier pour mener leurs opérations, les acheteurs de voitures ayant indiqué à BleepingComputer qu'ils ne pouvaient pas acheter de voiture en raison de la panne ni bénéficier d'un service pour les voitures existantes.
Deux des plus grandes sociétés publiques de concession automobile, Penske Automotive Group et Sonic Automotive, ont révélé hier qu'elles avaient également été touchées par les pannes.
« Notre activité Premier Truck Group utilise le système de gestion des concessionnaires de CDK qui a été perturbé », a expliqué Penske dans un communiqué. Dépôt auprès de la SEC.
« Nous avons immédiatement pris des mesures de confinement de précaution pour protéger nos systèmes et avons lancé une enquête sur l'incident, qui se poursuit. Premier Truck Group a mis en œuvre ses plans d'intervention en matière de continuité des activités et continue d'opérer sur tous ses sites grâce à des processus manuels ou alternatifs développés pour répondre à de tels incidents. »
« En conséquence, la société a connu des perturbations dans son système de gestion des concessionnaires (« DMS ») hébergé par CDK, qui prend en charge les opérations critiques des concessionnaires, notamment celles prenant en charge les fonctions de vente, d'inventaire et de comptabilité, ainsi que son système de gestion de la relation client (« CRM »). a rapporté Sonic Automotive dans un Dépôt auprès de la SEC.
« Tous les concessionnaires de la société sont ouverts et utilisent des solutions de contournement pour minimiser les perturbations causées par cette panne de CDK. »
CDK avertit également que les acteurs malveillants appellent des concessionnaires se faisant passer pour des agents ou des sociétés affiliées de CDK pour obtenir un accès non autorisé aux systèmes.
Alors que BleepingComputer est le premier à signaler que BlackSuit est à l'origine de l'attaque, la nouvelle selon laquelle CDK négocie avec des acteurs menaçants a été révélée hier par Bloomberg.
BleepingComputer a contacté CDK pour en savoir plus sur l'attaque du ransomware mais n'a pas encore reçu de réponse.
Le gang des rançongiciels BlackSuit
BlackSuit a été lancé en mai 2023 et est considéré comme une nouvelle image de l'opération de ransomware Royal.
Royal Ransomware, et donc BlackSuit, serait le successeur direct du célèbre syndicat de cybercriminalité Conti, un gang de cybercriminalité organisé composé d'acteurs menaçants russes et d'Europe de l'Est.
En juin 2023, l'opération Royal Ransomware a commencé à tester un nouveau chiffreur appelé BlackSuit au milieu de rumeurs selon lesquelles ils envisageaient de changer de nom après avoir attaqué la ville de Dallas, au Texas.
Depuis lors, les attaques sous le nom de Royal ont disparu, les acteurs de la menace travaillant désormais sous le nom de BlackSuit.
En novembre 2023, le FBI et la CISA ont révélé dans un avis conjoint que Royal et BlackSuit partagent des tactiques similaires et des chevauchements de codage dans leurs chiffreurs.
L’avis relie également le gang de ransomwares Royal à des attaques contre au moins 350 organisations dans le monde depuis septembre 2022 et à plus de 275 millions de dollars de demandes de rançon.