この問題に詳しい複数の情報筋によると、CDKグローバル社の大規模なIT障害と北米全域の自動車ディーラーへの混乱の背後には、BlackSuitランサムウェア集団がいるという。
匿名を条件に情報を提供した同筋によると、CDKは現在、ランサムウェア集団と復号化装置を受け取り、盗まれたデータを流出させないよう交渉しているという。
この交渉は、BlackSuitのランサムウェア攻撃により、CDKが自動車ディーラー・プラットフォームを含むITシステムとデータセンターのシャットダウンを余儀なくされ、攻撃の拡大を防いだ後に行われた。同社は水曜日にサービスの復旧を試みたが、2度目のサイバーセキュリティ・インシデントに見舞われ、再びすべてのITシステムをシャットダウンすることになった。
CDKはSaaS(Software-as-a-Service)プロバイダーで、そのプラットフォームは自動車ディーラーが販売、融資、在庫、サービス、バックオフィス機能など、経営のあらゆる側面を実行するために使用されている。
同プラットフォームが停止しているため、カーディーラーは紙とペンに切り替えて業務を遂行せざるを得ず、自動車購入者からは、停電のために自動車を購入できない、あるいは既存の自動車のサービスを受けられないと言われている。
大手自動車ディーラーであるペンスキー・オートモーティブ・グループとソニック・オートモーティブの2社も昨日、停電の影響を受けたことを明らかにした。
「当社のプレミア・トラック・グループ事業は、CDKのディーラー管理システムを利用しているが、このシステムが停止した」と、ペンスキー社はSEC提出書類の中で述べている。
「私たちは直ちにシステムを保護するための予防措置を講じ、事故の調査を開始しました。プレミア・トラック・グループは事業継続対応計画を実施し、このようなインシデントに対応するために開発された手動または代替プロセスにより、すべての拠点で業務を継続しています。
“その結果、当社はCDKがホストするディーラー管理システム(以下、DMS)に障害が発生し、販売、在庫、会計機能、顧客関係管理(以下、CRM)システムを含む重要なディーラー業務をサポートしました。
「当社のすべてのディーラーは営業しており、CDKの障害による混乱を最小限に抑えるため、回避策を利用して営業しています。
CDKはまた、脅威者がCDKの代理店や関連会社を装ってディーラーに電話をかけ、不正にシステムにアクセスしようとしていると警告している。
BlackSuitがこの攻撃の背後にいることを最初に報告した一方で、CDKが脅威行為者と交渉しているというニュースは昨日Bloombergによって明らかにされた。
このランサムウェア攻撃についてCDKに問い合わせたが、まだ回答は得られていない。
BlackSuitランサムウェア集団
BlackSuitは2023年5月に開始され、Royalランサムウェアの再ブランド化であると考えられている。
Royal Ransomware、ひいてはBlackSuitは、ロシアと東欧の脅威アクターで構成される組織的なサイバー犯罪集団である悪名高いContiサイバー犯罪シンジケートの直接的な後継者であると考えられています。
2023年6月、Royal Ransomwareの活動は、テキサス州ダラス市を攻撃した後、新しい名前で再ブランド化を計画しているという噂の中、BlackSuitと呼ばれる新しい暗号化ソフトのテストを開始しました。
それ以来、Royalの名前での攻撃は姿を消し、脅威行為者は現在BlackSuitの名前で活動しています。
2023年11月、FBIとCISAは共同勧告の中で、RoyalとBlackSuitは暗号化装置において同様の手口とコーディングの重複を共有していることを明らかにした。
この勧告ではまた、Royalランサムウェアの一団が、2022年9月以降に世界中で少なくとも350の組織を攻撃し、2億7500万ドル以上の身代金を要求したことに関連しているとしています。
Comments