Cómo terminó el apagón del concesionario de autos? CDK pagó casi seguramente $25 millones como rescate
La empresa se ha negado comentar sobre el asunto. Determinar quién envía una transferencia de cryptomoneda puede resultar complicado debido a la relativa anonimidad que algunos servicios de cryptomonedas ofrecen. Sin embargo, los datos en el bloquechain que respalda las transferencias de cryptomonedas también cuentan su propia historia.
El 21 de junio, aproximadamente 387 bitcoins — equivalente a alrededor de $25 millones en ese momento — fueron enviados a una cuenta de cryptomonedas controlada por hackers vinculados a un tipo de malware llamado BlackSuit, Chris Janczewski, jefe de investigaciones globales en TRM Labs, una empresa de rastreo de cryptomonedas, le dijo a CNN.
Una semana después de que se hiciera la transferencia, CDK anunció que estaba devolviendo a los concesionarios de automóviles a su plataforma de software. La cryptomoneda permite la exchange de activos digitales fuera del sistema bancario tradicional, pero un registro de esas transacciones está disponible en el bloquechain.
Janczewski no identificó quién envió la transferencia, pero tres fuentes que seguían de cerca el incidente confirmaron que se había realizado una transferencia de aproximadamente $25 millones a afiliados de BlackSuit y que CDK era muy probablemente la fuente de esa transferencia. Las fuentes hablaron bajo la condición de anonimato debido a la naturaleza sensible de la investigación.
La cuenta de cryptomonedas que envió el pago de rescate está vinculada a una empresa que ayuda a las víctimas a responder a los ataques de rescate, uno de los fuentes dijo, negándose a identificar la empresa.
La portavoz de CDK Lisa Finney no respondió a varias solicitudes de comentario el miércoles y jueves sobre el supuesto pago. Finney había declinado responder preguntas sobre el tema anteriormente. El CEO de CDK Brian MacDonald no respondió a correos electrónicos y mensajes de LinkedIn solicitando comentario.
El pago de $25 millones no había sido previamente informado. Bloomberg informó que los hackers habían hecho una demanda de multimillonarios de rescate y que la empresa planeaba pagar.
El ataque de ransomware que azotó a CDK a mediados de junio interrumpió miles de concesionarios de automóviles que utilizan la software de la empresa para gestionar desde la programación hasta las ventas y las órdenes. CDK se referió a él como un "incidente cibernético" en declaraciones a los periodistas. En una nota a clientes citada por CBS, CDK se referió a él como un "evento de ransomware cibernético".
CDK dijo última semana que “substantially all” de los aproximadamente 15.000 concesionarios de automóviles que utilizan su software en Norteamérica estaban volviendo a su sistema de administración principal.
Los funcionarios federales suelen desanimar el pago de un rescate a los ciberdelincuentes porque los pagos pueden alimentar futuros ataques. Sin embargo, algunas empresas se sienten obligadas a pagar a los hackers para intentar recuperar datos sensibles de clientes o recuperar sus sistemas.
El pago de $25 millones sería un vuelo de aire para una nueva generación de criminales de ransomware que emergieron el año pasado y han atacado a numerosas víctimas en el sector de la educación y la construcción, entre otras cosas. El software malicioso de BlackSuit es similar al utilizado por otros grupos criminales de habla rusa, según el Departamento de Salud y Servicios Humanos de los EE. UU.
“La dirección de este grupo ha estado llevando operaciones de extorsión de ransomware desde el 2019 bajo otros nombres de ransomware”, dijo Jon DiMaggio, estratega de seguridad jefe en Analyst1, una empresa de ciberseguridad que estudia grupos de ransomware.
“Esto es uno de muchos ejemplos que he visto a lo largo de los años en que un grupo es either shut down by law enforcement or decides to terminate its operation to rebrand under a new name and continue attacking and extorting organizations”, DiMaggio le dijo a CNN, agregando que la mayoría de las víctimas de BlackSuit han estado en los EE. UU.
Los ciberdelincuentes, en general, extorsionaron un récord de $1.1 billón en pagos de rescate a organizaciones víctimas en el mundo entero el año pasado a pesar de los esfuerzos del gobierno estadounidense para cortar sus flujos de dinero, Chainalysis, otra empresa de rastreo de cryptomonedas, dijo en un informe en febrero.
Un pago de $25 millones de ransomware es ciertamente grande pero no desconocido en la economía lucrativa de ransomware. UnitedHealth Group, el conglomerado de salud cuya sucursal sufrió un ataque de ransomware en febrero que paralizó farmacias por todo el Estados Unidos, pagó un rescate de $22 millones a un grupo criminal diferente.
Sin embargo, el promedio de pagos de rescate en el cuarto trimestre de 2023 fue mucho menor: $568.705, según la empresa de ciberseguridad Coveware.
El pago a afiliados de BlackSuit, estimado en alrededor de $25 millones, se hizo usando cryptomonedas, lo que demuestra el uso de activos digitales fuera de los sistemas bancarios tradicionales en tales transacciones.
A pesar de la anonimidad ofrecida por algunos servicios de cryptomonedas, las empresas como CDK, en este caso, pueden aún tener sus interacciones en el bloquechain, lo que proporciona un nivel de responsabilidad.
Lea también:
- Las ventas de los fabricantes alemanes de automóviles se debilitan
- Emoción por el horario laboral: ¿grabación o flexibilidad?
- Las ofertas anticipadas del Black Friday de Walmart se han puesto hoy en marcha
- Escalada del conflicto: Putin insiste en que Kiev se retire de cuatro regiones y rechace el ingreso en la OTAN