Otomobil bayiliği hizmet sağlayıcısı yazılım sağlayıcısı CDK Global, büyük bir siber saldırıya uğradı ve bu durum şirketin sistemlerini kapatmasına ve müşterilerin işlerini normal şekilde yürütememesine neden oldu.
CDK Global, otomotiv endüstrisindeki müşterilere, CRM, finansman, bordro, destek ve servis, envanter ve arka ofis operasyonları da dahil olmak üzere bir otomobil bayisinin operasyonunun tüm yönlerini ele alan bir SaaS platformu sağlar.
Şirket, Kuzey Amerika’da 15.000’den fazla otomobil bayisi tarafından kullanılıyor ve ülke genelinde binlerce çalışana sahip.
CDK hizmetlerini kullanmak için otomobil bayileri, SaaS sağlayıcısının veri merkezlerine her zaman açık bir VPN yapılandırarak, yerel olarak yüklenen uygulamalarının platforma erişmesine olanak tanır.
Dün gece ve bu sabaha kadar CDK Global, saldırının yayılmasını önlemek için BT sistemlerini, telefonlarını ve uygulamalarını kapatmasına neden olan bir siber saldırıya uğradı.
Araba bayilerine yönelik bir siber güvenlik ve BT hizmetleri firması olan Proton Dealership IT’nin CEO’su Brad Holton, BleepingComputer’a, saldırının CDK’nın iki veri merkezini dün gece saat 02.00 civarında çevrimdışı duruma getirmesine neden olduğunu söyledi.
Birçok otomobil bayisindeki çalışanlar da BleepingComputer’a, CDK’nın siber bir olaya maruz kaldıklarını bildiren bir e-posta uyarısı göndermek dışında pek fazla bilgi paylaşmadığını söyledi.
BleepingComputer ile paylaşılan bir e-postada, “Şu anda bir siber olay yaşıyoruz. Tedbirimiz ve müşterilerimiz için endişelerimiz nedeniyle sistemlerimizin çoğunu kapattık” yazıyor.
“Şu anda genel etkiyi değerlendiriyoruz ve şu anda ETA’mız yok.”
Bu çalışanlardan bazıları, tehdit aktörlerinin her zaman açık VPN’i kullanarak otomobil bayilerinin dahili ağına bağlanabilecekleri yönündeki endişelerini de paylaştı.
Bayilerden birinin BT uzmanı, BleepingComputer CDK’ya, dikkatli bir şekilde her zaman açık olan VPN’in bağlantısını kesmelerini tavsiye ettiğini söyledi.
Holton, cihazlarda çalışan CDK yazılımının, güncellemeleri dağıtmak için kullanılan yönetici ayrıcalıklarına sahip olduğunu ve bunun da CDK’nın neden veri merkezleriyle bağlantının kesilmesini önerdiğini açıklayabileceğini açıkladı.
Bazı kullanıcılar, CDK’nın modern tek oturum açma platformuna geçişi sırasında güncellenen eski kimlik bilgileriyle giriş yapabildiklerini belirtirken, BleepingComputer’a uygulamanın beklendiği gibi çalışmadığı söylendi.
Yaygın kesinti
Kesinti, platformlarını otomobil parçalarını takip etmek ve sipariş etmek, yeni satışlar gerçekleştirmek ve finansman sunmak için kullanan otomobil bayileri arasında yaygın bir aksamaya yol açtı.
Çalışanlar Reddit’te yapacak hiçbir şey kalmadığını veya kalem ve kağıda geri dönmek zorunda kaldıklarını bildirdi. Bazı bayiler kesintiler nedeniyle çalışanlarını bir günlüğüne evlerine gönderiyor.
Bir bayi çalışanı Reddit’e şunları yazdı: “Neredeyse o noktaya geldik… parça yok, RO yok, zaman yok… sadece gösterilecek hiçbir şeyi veya tamir edilecek parçaları olmayan ölü araçlar.”
Başka bir çalışan, “Dağıttığımız tüm kısımlar için Excel elektronik tabloları ve posta notları. Büyük işler gerçekleşmiyor” yorumunu yaptı.
CDK’dan resmi bir açıklama yapılmazken, şirketin yedeklemelerini de etkileyen bir fidye yazılımı saldırısına maruz kaldığı söyleniyor.
BleepingComputer bu bilgiyi bağımsız olarak doğrulayamadı, ancak eğer bu bir fidye yazılımı saldırısıysa, kesintiler önümüzdeki hafta veya daha uzun süre olmasa da muhtemelen günlerce sürecek.
Fidye yazılımı çeteleri kurumsal ağları ihlal ettiğinde, kurumsal verileri çalarken sessizce diğer cihazlara da yayılırlar.
Tüm veriler çalındıktan ve tehdit aktörleri idari ayrıcalıklar elde ettikten sonra, ağdaki tüm cihazları şifrelerler ve arkalarında bilgisayar korsanlarıyla iletişim kurma talimatlarını içeren fidye notları bırakırlar.
Şifrelenmiş cihazlar ve çalınan veriler, tehdit aktörlerinin şifre çözücü sağlamak ve çalınan verileri silmek ve yayınlamamak için fidye ödemesi talep ettiği çifte gasp planlarında kullanılıyor.
Bu müzakereler haftalar sürebilir ve eğer fidye ödenmezse, tehdit aktörleri sonuçta genellikle çalışanların ve potansiyel olarak müşterilerin kişisel bilgilerini içeren kurumsal verileri sızdırır.
BleepingComputer bunun bir fidye yazılımı saldırısı olup olmadığını doğrulamak için CDK ile temasa geçti ancak henüz bir yanıt alamadı.