
Le gang de ransomwares BlackSuit est à l’origine de la panne informatique massive de CDK Global et de la perturbation des concessionnaires automobiles à travers l’Amérique du Nord, selon plusieurs sources proches du dossier.
Les mêmes sources, qui ont fourni des informations sous couvert d’anonymat, ont déclaré à Breachtrace que CDK négocie actuellement avec le gang de ransomwares pour recevoir un déchiffreur et ne pas divulguer de données volées.
Alors que Breachtrace est le premier à signaler que BlackSuit est à l’origine de l’attaque, la nouvelle que CDK négocie avec des acteurs de la menace a été révélée hier par Bloomberg.
Les négociations interviennent après que l’attaque du ransomware BlackSuit a forcé CDK à fermer ses systèmes informatiques et ses centres de données pour empêcher la propagation de l’attaque, y compris sa plate-forme de concession automobile. L’entreprise a tenté de rétablir ses services mercredi, mais a subi un deuxième incident de cybersécurité, l’obligeant à fermer à nouveau tous ses systèmes informatiques.
CDK est un fournisseur de logiciels en tant que service (SaaS) dont la plate-forme est utilisée par les concessionnaires automobiles pour gérer tous les aspects de son fonctionnement, y compris les fonctions de vente, de financement, d’inventaire, de service et de back-office.
Comme la plate-forme est maintenant fermée, les concessionnaires automobiles ont dû passer au stylo et au papier pour mener leurs opérations, les acheteurs de voitures ayant informé Breachtrace qu’ils ne pouvaient pas acheter de voiture en raison de la panne ou bénéficier d’un service pour les voitures existantes.
Deux des plus grandes sociétés publiques de concessionnaires automobiles, Penske Automotive Group et Sonic Automotive, ont révélé hier qu’elles aussi avaient été touchées par les pannes.
« Notre activité Premier Truck Group utilise le système de gestion des concessionnaires de CDK qui a été perturbé », a déclaré Penske dans un document déposé auprès de la SEC.
« Nous avons immédiatement pris des mesures de confinement préventives pour protéger nos systèmes et avons entamé une enquête sur l’incident, dont les efforts sont en cours. Premier Truck Group a mis en œuvre ses plans d’intervention en matière de continuité des activités et continue d’opérer à tous les emplacements grâce à des processus manuels ou alternatifs développés pour répondre à de tels incidents. »
« En conséquence, la Société a connu des perturbations dans son système de gestion des concessionnaires (« DMS ») hébergé par CDK, qui prend en charge les opérations critiques des concessionnaires, y compris celles prenant en charge les fonctions de vente, d’inventaire et de comptabilité et son système de gestion de la relation client (« CRM ») », a rapporté Sonic Automotive dans un dépôt auprès de la SEC.
« Tous les concessionnaires de la Société sont ouverts et fonctionnent en utilisant des solutions de contournement pour minimiser les perturbations causées par cette panne de CDK. »
CDK avertit également que des acteurs de la menace appellent des concessionnaires se faisant passer pour des agents CDK ou des affiliés pour obtenir un accès non autorisé aux systèmes.
Breachtrace a contacté CDK pour en savoir plus sur l’attaque du ransomware, mais n’a pas encore reçu de réponse.
Le gang des ransomwares BlackSuit
BlackSuit a été lancé en mai 2023 et serait un changement de marque de l’opération de ransomware Royal.
Royal Ransomware, et donc BlackSuit, serait le successeur direct du tristement célèbre syndicat de la cybercriminalité Conti, un gang de cybercriminalité organisé composé d’acteurs de la menace russes et d’Europe de l’Est.
En juin 2023, l’opération Royale de Ransomware a commencé à tester un nouveau chiffreur appelé BlackSuit au milieu de rumeurs selon lesquelles ils prévoyaient de se renommer sous un nouveau nom après avoir attaqué la ville de Dallas, au Texas.
Depuis lors, les attaques sous le nom royal ont disparu, les acteurs de la menace travaillant désormais sous le nom de combinaison noire.
En novembre 2023, le FBI et la CISA ont révélé dans un avis conjoint que Royal et BlackSuit partagent des tactiques similaires et des chevauchements de codage dans leurs chiffreurs.
L’avis a également lié le gang Royal ransomware à des attaques contre au moins 350 organisations dans le monde depuis septembre 2022 et à plus de 275 millions de dollars de demandes de rançon.