Le fournisseur de logiciels en tant que service de concession automobile CDK Global a été touché par une cyberattaque massive, obligeant l’entreprise à fermer ses systèmes et empêchant ses clients d’exploiter normalement leur entreprise.

CDK Global fournit aux clients de l’industrie automobile une plate-forme SaaS qui gère tous les aspects des opérations d’un concessionnaire automobile, y compris le CRM, le financement, la paie, le support et le service, l’inventaire et les opérations de back-office.

L’entreprise est utilisée par plus de 15 000 concessionnaires automobiles en Amérique du Nord et compte des milliers d’employés à travers le pays.

Pour utiliser les services de CDK, les concessionnaires automobiles configurent un VPN permanent vers les centres de données du fournisseur SaaS, permettant à leurs applications installées localement d’accéder à la plate-forme.

La nuit dernière et ce matin, CDK Global a subi une cyberattaque qui l’a amené à fermer ses systèmes informatiques, ses téléphones et ses applications pour empêcher la propagation de l’attaque.

Brad Holton, PDG de Proton Dealership IT, une société de cybersécurité et de services informatiques pour les concessionnaires automobiles, a déclaré à Breachtrace que l’attaque avait amené CDK à mettre ses deux centres de données hors ligne vers 2 heures du matin hier soir.

Les employés de plusieurs concessionnaires automobiles ont également déclaré à Breachtrace que CDK n’avait pas partagé beaucoup d’informations autres que d’envoyer un e-mail avertissant qu’ils avaient subi un cyberincident.

« Nous vivons actuellement un cyberincident. Par prudence et par souci pour nos clients, nous avons arrêté la majorité de nos systèmes », lit-on dans un e-mail partagé avec Breachtrace .

« Nous évaluons actuellement l’impact global et n’avons actuellement aucune AVE. »

Certains de ces employés ont également exprimé des inquiétudes quant au fait que les acteurs de la menace pourraient utiliser le VPN permanent pour pivoter dans le réseau interne des concessionnaires automobiles.

Un professionnel de l’informatique d’un concessionnaire a déclaré à Breachtrace CDK leur a conseillé de déconnecter le VPN permanent par prudence.

Holton a expliqué que le logiciel CDK exécuté sur les appareils dispose de privilèges administratifs utilisés pour déployer les mises à jour, ce qui pourrait expliquer pourquoi CDK recommande de se déconnecter des centres de données.

Alors que certains utilisateurs ont déclaré qu’ils pouvaient se connecter avec d’anciennes informations d’identification qui ont été mises à niveau lors de la transition de CDK vers une plate-forme d’authentification unique moderne, Breachtrace a été informé que l’application ne fonctionnait pas comme prévu.

Perturbation généralisée
La panne a entraîné des perturbations généralisées chez les concessionnaires automobiles utilisant leur plate-forme pour suivre et commander des pièces automobiles, effectuer de nouvelles ventes et offrir du financement.

Des employés ont rapporté sur Reddit qu’ils n’avaient plus rien à faire ou qu’ils étaient obligés de retourner au papier et au crayon. Certains concessionnaires renvoient leurs employés à la maison pour la journée en raison des pannes.

« Nous en sommes presque là… pas de pièces, pas de ROs, pas de temps… juste des véhicules morts sans rien à montrer pour eux ou des pièces pour les réparer », a posté un employé du concessionnaire sur Reddit.

« Feuilles de calcul Excel et notes post it pour toutes les pièces que nous distribuons. Aucun gros travail ne se produit », a commenté un autre employé.

Bien qu’il n’y ait pas eu de déclaration officielle de CDK, il semblerait que l’entreprise ait subi une attaque de ransomware qui a également eu un impact sur ses sauvegardes.

Breachtrace n’a pas été en mesure de confirmer ces informations de manière indépendante, mais s’il s’agissait d’une attaque de ransomware, les pannes dureront probablement des jours, sinon la semaine prochaine et plus longtemps.

Lorsque des gangs de ransomwares violent les réseaux d’entreprise, ils se propagent discrètement à d’autres appareils tout en volant les données de l’entreprise.

Une fois que toutes les données ont été volées et que les auteurs de la menace obtiennent des privilèges administratifs, ils chiffrent tous les appareils du réseau, laissant derrière eux des notes de rançon avec des instructions pour contacter les pirates.

Les appareils cryptés et les données volées sont utilisés dans des stratagèmes de double extorsion, où les acteurs de la menace exigent le paiement d’une rançon pour fournir un déchiffreur et pour supprimer et ne publier aucune donnée volée.

Ces négociations peuvent prendre des semaines, et si une rançon n’est pas payée, les acteurs de la menace finissent par divulguer les données de l’entreprise, qui comprennent généralement les informations personnelles des employés et, potentiellement, des clients.

Breachtrace a contacté CDK pour confirmer s’il s’agissait d’une attaque de ransomware, mais n’a pas encore reçu de réponse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *