Se descubre el hacker 'BlackSuite' detrás del ciberataque global de CDK que afectó a los concesionarios de automóviles
Un reciente ciberataque a CDK Global , un proveedor líder de software para concesionarios de automóviles, ha provocado importantes interrupciones en las operaciones en todo Estados Unidos. Este incidente pone de relieve la tendencia creciente de ataques de ransomware dirigidos a grandes empresas a través de sus proveedores de software detrás de escena.
El software de CDK Global es crucial para los concesionarios de automóviles, ya que facilita el procesamiento de ventas y transacciones. Como resultado del hackeo, muchos concesionarios se vieron obligados a volver a métodos de procesamiento manual, lo que afectó su eficiencia y servicio al cliente, según informes de la prensa local.
Tabla de contenido
Presentamos BlackSuit: el grupo detrás del ataque
El grupo cibercriminal responsable del hackeo a CDK Global se conoce como BlackSuit. BlackSuit, que surgió en mayo de 2023, es una entidad relativamente nueva en el mundo del cibercrimen y se cree que es una escisión del notorio grupo de piratería vinculado a Rusia, RoyalLocker. El propio RoyalLocker tiene una historia notoria, que se origina en la prolífica pandilla Conti y apunta ampliamente a empresas estadounidenses. Los analistas consideran a RoyalLocker uno de los grupos de ransomware más persistentes, ubicándose sólo detrás de LockBit y ALPHV.
Por el contrario, BlackSuit parece menos agresivo que sus predecesores. El sitio de filtración de datos del grupo indica menos víctimas en comparación con bandas de ransomware más grandes, lo que sugiere que carece de la extensa red de socios de piratería que se observa en otros grupos. Kimberly Goody, jefa de análisis de delitos cibernéticos de Mandiant Intelligence, señala que la mayoría de las víctimas de BlackSuit se encuentran en Estados Unidos, seguidos por el Reino Unido y Canadá, y abarcan varios sectores.
El alcance de las actividades de BlackSuit
La firma de seguridad Recorded Future informa que BlackSuit ha violado al menos 95 organizaciones en todo el mundo. Sin embargo, el número real de víctimas podría ser mucho mayor. La mayoría de estos ataques se han dirigido a organizaciones estadounidenses, particularmente en sectores como los bienes industriales y la educación, como se señala en un blog de la firma de seguridad ReliaQuest.
BlackSuit también ha estado activo en foros clandestinos, con actores de amenazas de habla rusa afiliados al grupo que buscan asociaciones para obtener acceso a más empresas, tan recientemente como la semana pasada, según Goody.
El modus operandi de BlackSuit
BlackSuit emplea una táctica conocida como “doble extorsión”. Esto implica robar datos confidenciales de una organización víctima, bloquear sus sistemas y luego amenazar con filtrar la información robada a menos que se pague un rescate. Además, BlackSuit proporciona infraestructura de piratería y soporte relacionado con la extorsión a grupos de socios más pequeños, conocidos como afiliados. Este apoyo incluye recursos para acosar a las víctimas o cerrar sus sitios web para aumentar la presión para el pago de rescates.
El hackeo de CDK Global es un claro recordatorio de la creciente amenaza que representan los ataques de ransomware, particularmente aquellos dirigidos a proveedores de software críticos. Las organizaciones deben permanecer alerta y mejorar sus medidas de ciberseguridad para protegerse contra estas amenazas en evolución.
Se descubre el hacker 'BlackSuite' detrás del ciberataque global de CDK que afectó a los concesionarios de automóviles capturas de pantalla
