Un attacco al produttore di software CDK Global ha interrotto le operazioni presso i concessionari di auto negli Stati Uniti, l'ultimo di una serie di attacchi in cui i criminali informatici che chiedono un riscatto prendono di mira le grandi aziende violando i fornitori di software dietro le quinte.

CDK produce un software che viene comunemente utilizzato dalle concessionarie di auto per elaborare le vendite e altre transazioni. Alla luce dell'hack, molti concessionari hanno iniziato a elaborare le transazioni manualmente, secondo quanto riportato dalla stampa locale.

Ecco ulteriori informazioni su BlackSuit, il gruppo di hacking che secondo gli analisti è dietro l'hack di CDK:

CHI/COSA È BLACKSUIT?

Non si sa molto del gruppo, ma è emerso nel maggio 2023. Secondo gli analisti, si tratta di un team di criminali informatici relativamente nuovo, nato da un gruppo di hacking più vecchio e noto, legato alla Russia, chiamato RoyalLocker.

RoyalLocker ha violato soprattutto aziende americane ed era un gruppo di hacker formidabile nato da un'altra banda prolifica chiamata Conti. Royal era probabilmente il terzo gruppo di ransomware più persistente dopo LockBit e ALPHV, secondo gli analisti.

Tuttavia, BlackSuit non è aggressivo come gli altri. Il numero di vittime che elenca sul suo sito di fuga di dati suggerisce che non ha tanti partner di hacking come le bande di ransomware più grandi, ha detto Kimberly Goody, responsabile dell'analisi del crimine informatico di Mandiant Intelligence.

"La maggior parte delle vittime di BlackSuit si trova negli Stati Uniti, seguiti da Regno Unito e Canada, e copre un'ampia gamma di settori", ha dichiarato.

QUANTE ORGANIZZAZIONI SONO STATE VIOLATE DA BLACKSUIT?

Ha violato almeno 95 organizzazioni a livello globale, secondo la società di sicurezza Recorded Future.

"Il numero reale delle vittime di BlackSuit è probabilmente molto più alto", ha dichiarato la società via e-mail.

Si tratta per lo più di organizzazioni americane in settori come i beni industriali e l'istruzione, secondo un blog pubblicato il mese scorso dalla società di sicurezza ReliaQuest.

"Abbiamo visto attori di minacce di lingua russa affiliati a BlackSuit sollecitare partnership in forum clandestini per fornire accesso alle aziende, anche la settimana scorsa", ha detto Goody.

COME OPERA BLACKSUIT?

BlackSuit è noto per effettuare una "doppia estorsione", che in termini informatici significa che ruba i dati sensibili di un'organizzazione vittima, blocca i suoi sistemi e minaccia anche di far trapelare informazioni.

Goody di Mandiant ha detto che BlackSuit ha fornito infrastrutture di hacking ad altri gruppi partner più piccoli di criminali informatici, noti come "affiliati". BlackSuit ha fornito ai suoi partner un supporto legato all'estorsione, comprese le risorse per molestare le vittime o per bloccare i loro siti web per spingerle a pagare.