Come si è terminazione dell'interruzione dell'autosalone? CDK ha probabilmente pagato un riscatto di 25 milioni di dollari
Il gruppo si è rifiutato di discutere della questione. Individuare esattamente chi invii una transazione di cryptocurrenza può essere complicato dalla relativa anonimato offerto da alcuni servizi crypto. Ma i dati presenti nella blockchain sottogiacente alle transazioni di cryptocurrenza raccontano la loro storia.
Il 21 giugno, circa 387 bitcoin - allora equivalenti a circa 25 milioni di dollari - sono stati inviati a un account cryptocurrency controllato da hacker affiliati a un tipo di malware chiamato BlackSuit, Chris Janczewski, capo delle indagini globali della società di tracciamento di cryptocurrenza TRM Labs, ha detto a CNN.
Settimana dopo la transazione, CDK ha annunciato di ripristinare i concessionari automobilistici sul suo piattaforma software. La cryptocurrenza consente lo scambio di attivi digitali al di fuori del sistema bancario tradizionale, ma un registro delle transazioni è consultabile sulla blockchain.
Janczewski non ha identificato chi ha inviato la transazione, ma tre altre fonti a seguire l'evento confermano che è stato effettuato un pagamento di circa 25 milioni di dollari a affiliati di BlackSuit e che CDK era probabilmente la fonte di quel pagamento. Queste fonti hanno parlato in condizioni di anonimato a causa della natura delle indagini.
L'account di cryptocurrenza che ha inviato il pagamento di riscatto è affiliato a una società che aiuta le vittime a reagire agli attacchi di riscatto, uno di questi fonti ha detto, rifiutandosi di identificare la società.
La portavoce di CDK Lisa Finney non ha risposto a richieste di commento mercoledì e giovedì sul presunto pagamento. Finney aveva precedentemente declinato di rispondere a domande sul soggetto. Il CEO di CDK Brian MacDonald non ha risposto a messaggi di email e di LinkedIn richiedenti commento.
Il pagamento di 25 milioni di dollari non è stato precedentemente segnalato. Bloomberg ha riportato che i criminali avevano fatto una richiesta multimiliardaria di riscatto e che la società avrebbe pagato.
L'attacco di riscatto di CDK avvenuto a metà giugno ha interrotto migliaia di concessionari automobilistici che utilizzano la società per gestire tutto dal programma di calendario alle vendite e agli ordini. CDK si riferiva a esso come un "incidente cibernetico" nelle dichiarazioni ai giornalisti. In una nota ai clienti citata da CBS, CDK si riferiva a esso come un "evento di riscatto cibernetico".
CDK ha detto la settimana scorsa che "praticamente tutte" le circa 15.000 concessionarie di automobili che utilizzano il suo software in Nord America erano tornate online al sistema di gestione principale di CDK.
Gli ufficiali federali generalmente dissuadono dai pagamenti a cibercriminali perché i pagamenti possono alimentare future attack. Ma alcune aziende sentono di avere poche scelte se non pagare i criminali per cercare di recuperare dati sensibili clienti o ripristinare i loro sistemi.
Il pagamento di 25 milioni di dollari sarebbe un guadagno notevole per un nuovo gruppo di criminali di riscatto in ransomware che è emerse l'anno scorso e ha colpito numerose vittime nel settore dell'istruzione e della costruzione, tra le altre cose. Il software malevolo di BlackSuit è simile a quello utilizzato da altri gruppi criminali di lingua russa, secondo il Dipartimento della Salute e degli Servizi Umani statunitense.
"Il loro comando ha condotto operazioni di estorsione cibernetica da oltre un anno sotto altri nomi di ransomware", ha detto Jon DiMaggio, stratega di sicurezza capo di Analyst1, un'azienda di cybersecurity che segue i gruppi di ransomware.
"Questo è uno dei tanti esempi che ho visto negli anni in cui un gruppo è stato chiuso dalle forze dell'ordine o si è deciso a terminare l'operazione per rinominarsi sotto un nuovo nome e continuare a attaccare e estorcere organizzazioni", DiMaggio ha detto a CNN, aggiungendo che la maggioranza dei clienti di BlackSuit sono stati negli Stati Uniti.
I criminali cibernetici, in generale, estorsero un record di 1,1 miliardi di dollari in pagamenti di riscatto a organizzazioni vittime in tutto il mondo l'anno scorso malgrado sforzi del governo statunitense per tagliare le loro flussi di denaro, ha detto Chainalysis, un'altra società di tracciamento di cryptocurrenza.
Un pagamento di 25 milioni di dollari è certo grande ma non inusuale nell'economia lucrativa del ransomware. UnitedHealth Group, il grande gruppo farmaceutico il cui subsidiary ha subito un attacco di ransomware a febbraio che ha bloccato farmacie in tutta l'America, ha pagato una riscatto di 22 milioni di dollari a un gruppo criminale differente.
Ma il pagamento medio nel quarto trimestre del 2023 era molto inferiore: 568.705 dollari, secondo la società di cybersecurity Coveware.
Il pagamento a affiliati di BlackSuit, stimato intorno ai 25 milioni di dollari, è stato effettuato utilizzando cryptocurrency, dimostrando l'uso di attivi digitali al di fuori dei sistemi bancari tradizionali in tali transazioni.
Nonostante l'anonimato offerto da alcuni servizi di cryptocurrency, aziende come CDK, in questo caso, possono ancora avere le loro interazioni sulla blockchain, offrendo un livello di responsabilità.
