Da quando CDK Global ha scoperto la violazione dei propri sistemi informatici e li ha spenti il 19 giugno, il caos ha colpito molte delle circa 15.000 concessionarie americane che utilizzano il suo software.
Il prodotto principale di CDK Global è infatti una suite di strumenti software denominata sistema di gestione delle concessionarie, o DMS, che supporta praticamente ogni elemento delle attività quotidiane dei rivenditori di auto. L’interruzione ha dunque ostacolato le vendite, interrotto le riparazioni e ritardato le consegne in un settore che l’anno scorso ha superato i 1,2 trilioni di dollari di vendite negli Stati Uniti.
Ma qual è la causa? Ebbene, si tratta di un gruppo di pirati informatici che secondo Allan Liska, analista di minacce presso la società di sicurezza Recorded Future Inc., si chiama BlackSuit e ha base in Europa orientale. Non si sa molto al suo riguardo se non che è emerso a maggio 2023. Gli analisti affermano che si tratta di un team di cybercriminali relativamente nuovo, derivato da un gruppo di hacker più vecchio e ben noto legato alla Russia chiamato RoyalLocker.
RoyalLocker ha hackerato principalmente aziende americane ed è a sua volta nato da un’altra gang, chiamata Conti. Secondo gli analisti, RoyalLocker ha preso di mira almeno 350 vittime e ha richiesto più di 275 milioni di dollari in estorsioni nel 2022 e 2023, secondo l’FBI e la CISA, un’unità del Dipartimento della Sicurezza Interna.
Tuttavia, BlackSuit non è aggressivo come gli altri. Il numero di vittime elencate sul suo sito suggerisce che non ha tanti partner di hacking come le gang di ransomware più grandi. Ad affermarlo è Kimberly Goody, capo analista presso Mandiant Intelligence.
Il gruppo funziona come una gang di ransomware-as-a-service, in cui i membri noleggiano i loro strumenti tecnici agli affiliati e richiedono una percentuale di qualsiasi estorsione. BlackSuit è noto per attuare la “doppia estorsione,” che in termini informatici significa che ruba i dati sensibili di un’organizzazione, blocca i suoi sistemi e minaccia anche di divulgare le informazioni.
Il gruppo ha richiesto un riscatto di decine di milioni di dollari a CDK e, come ha riportato Bloomberg News, questa sarebbe intenzionata a pagare. I BlackSuit hanno già all’attivo un attacco ransomware a una società di servizi di laboratorio, che ha causato interruzioni negli ospedali di Londra. In quel caso, la loro richiesta è stata di 50 milioni di dollari.
UnitedHealth Group Inc., il più grande assicuratore medico negli Stati Uniti, ha invece riconosciuto all’inizio di quest’anno di aver pagato agli hacker un’estorsione di 22 milioni di dollari.
BlackSuit ha anche pubblicato centinaia di file rubati dal dipartimento di polizia di Kansas City, Kansas. E quasi 200 centri di donazione di plasma in tutto il mondo sono stati chiusi a causa dell’attività di BlackSuit in aprile. Il gruppo ha poi rivendicato gli attacchi a un sistema scolastico della Georgia e ha rubato più di 200 gigabyte di dati dall’Università dell’Indiana.
CDK è riuscita a ripristinare brevemente alcuni servizi per poche ore il 19 giugno ma è stata costretta a disattivarli dopo un secondo attacco informatico. Giovedì, la società ha avvertito i concessionari che i loro sistemi probabilmente non saranno disponibili per diversi giorni.
Esistono solo poche società di DMS tra cui i concessionari americani possono scegliere. Di conseguenza, migliaia di negozi dipendono fortemente dai servizi di CDK per erogare finanziamenti e assicurazioni, gestire l’inventario di veicoli e parti e completare vendite e riparazioni.
Mentre CDK collabora con le autorità e valuta la possibilità di pagare il riscatto, l’industria automobilistica si trova ad affrontare una crisi che potrebbe avere ripercussioni a lungo termine sulla sicurezza informatica del settore.
