Konuya aşina birçok kaynağa göre, CDK Global’in Kuzey Amerika’daki büyük BT kesintisinin ve otomobil bayilerindeki aksaklığın arkasında BlackSuit fidye yazılımı çetesi var.
İsimlerinin gizli kalması koşuluyla bilgi veren aynı kaynaklar, BleepingComputer’a CDK’nın şu anda şifre çözücüyü almak ve çalınan verileri sızdırmamak için fidye yazılımı çetesiyle pazarlık yaptığını söyledi.
Saldırının arkasında BlackSuit’in olduğunu ilk bildiren BleepingComputer olurken, dün Bloomberg tarafından CDK’nın tehdit aktörleriyle görüştüğü haberi ortaya çıktı.
Görüşmeler, BlackSuit fidye yazılımı saldırısının CDK’yi, saldırının yayılmasını önlemek için otomobil bayiliği platformu da dahil olmak üzere BT sistemlerini ve veri merkezlerini kapatmaya zorlamasının ardından geldi. Şirket Çarşamba günü hizmetleri geri yüklemeyi denedi ancak ikinci bir siber güvenlik olayıyla karşılaştı ve tüm BT sistemlerini yeniden kapatmasına neden oldu.
CDK, platformu otomobil bayileri tarafından satış, finansman, envanter, servis ve arka ofis işlevleri de dahil olmak üzere operasyonlarının tüm yönlerini yürütmek için kullanılan bir hizmet olarak yazılım (SaaS) sağlayıcısıdır.
Platformun artık kapalı olması nedeniyle otomobil bayileri faaliyetlerini yürütmek için kalem ve kağıda geçmek zorunda kaldı; otomobil alıcıları BleepingComputer’a kesinti nedeniyle otomobil satın alamayacaklarını veya mevcut otomobiller için hizmet alamayacaklarını söyledi.
Halka açık en büyük otomobil bayilik şirketlerinden ikisi olan Penske Automotive Group ve Sonic Automotive, dün kendilerinin de kesintilerden etkilendiğini açıkladı.
Penske bir SEC dosyasında şunları paylaştı: “Premier Truck Group işletmemiz, CDK’nin kesintiye uğrayan bayi yönetim sistemini kullanıyor.”
“Sistemlerimizi korumak için derhal ihtiyati tedbir adımları attık ve olayla ilgili bir soruşturma başlattık; bu çabalar devam ediyor. Premier Truck Group, iş sürekliliği müdahale planlarını uygulamaya koydu ve müdahale etmek için geliştirilen manuel veya alternatif süreçlerle tüm lokasyonlarda çalışmaya devam ediyor.” bu tür olaylar.”
“Sonuç olarak Şirket, satış, envanter ve muhasebe fonksiyonlarını destekleyenler de dahil olmak üzere kritik bayilik operasyonlarını destekleyen CDK tarafından barındırılan bayi yönetim sisteminde (“DMS”) ve müşteri ilişkileri yönetimi (“CRM”) sisteminde kesintiler yaşadı.” Sonic Automotive’i bir SEC dosyasında bildirdi.
“Şirketin tüm bayilikleri açık ve bu CDK kesintisinin neden olduğu kesintiyi en aza indirmek için geçici çözüm çözümleri kullanarak çalışıyor.”
CDK ayrıca, tehdit aktörlerinin, sistemlere yetkisiz erişim sağlamak için CDK aracısı veya bağlı kuruluşu gibi davranan bayileri aradıkları konusunda da uyarıyor.
BleepingComputer, fidye yazılımı saldırısı hakkında daha fazla bilgi edinmek için CDK ile temasa geçti ancak henüz bir yanıt alamadı.
BlackSuit fidye yazılımı çetesi
BlackSuit, Mayıs 2023’te piyasaya sürüldü ve Royal fidye yazılımı operasyonunun yeniden markalandığına inanılıyor.
Royal Ransomware’in ve dolayısıyla BlackSuit’in, Rus ve Doğu Avrupalı tehdit aktörlerinden oluşan organize bir siber suç çetesi olan kötü şöhretli Conti siber suç örgütünün doğrudan varisi olduğuna inanılıyor.
Haziran 2023’te Royal Ransomware operasyonu, Teksas’ın Dallas şehrine saldırdıktan sonra yeni bir isim altında yeniden markalaşmayı planladıkları yönündeki söylentilerin ortasında BlackSuit adlı yeni bir şifreleyiciyi test etmeye başladı.
O günden bu yana Royal adı altında yapılan saldırılar ortadan kalktı ve tehdit aktörleri artık BlackSuit adı altında çalışıyor.
Kasım 2023’te FBI ve CISA, ortak bir danışma belgesinde Royal ve BlackSuit’in şifreleyicilerinde benzer taktikleri ve kodlama çakışmalarını paylaştıklarını açıkladı.
Uyarı ayrıca Royal fidye yazılımı çetesinin Eylül 2022’den bu yana dünya çapında en az 350 kuruluşa yönelik saldırılarla ve 275 milyon dolardan fazla fidye talebiyle bağlantılı olduğunu da belirtti.