Inmediatamente después de un ataque de ransomware, CKD Global fue atacado por segunda vez mientras intentaba restaurar sistemas, lo que, según los expertos en seguridad, resalta la importancia de no apresurar los procesos de recuperación. El 19 de junio, CDK envió una notificación a los concesionarios advirtiéndoles que la compañía había experimentó un incidente cibernético que lo obligó a desconectar la mayoría de sus sistemas de software. Con sus sistemas en uso en más de 15.000 concesionarios de automóviles en toda América del Norte, el incidente ha causado una interrupción generalizada, lo que obligó a muchos a volver al manual, con lápiz y lápiz. Procesos en papel para el mantenimiento de registros y la administración. El gigante del software confirmó que la interrupción fue causada por un «evento de rescate» después de que Allan Liska, analista de inteligencia de amenazas de Recorded Future, le dijera a Bloomberg que el ataque fue realizado por la banda de ransomware BlackSuit. Según se informa, el grupo emitió una demanda de rescate por valor de decenas de millones. de dólares y, según un informe de Fortune que cita una fuente familiarizada con el asunto, CDK planea cumplir con las solicitudes del actor de amenazas. CDK Global aún no ha confirmado la identidad del grupo detrás del ataque, sin embargo, ITPro se ha acercado a la firma. para una aclaración y si hay algo de verdad en las afirmaciones de que está planeando un pago de rescate. CDK fue atacado durante su proceso de recuperación Aaron Walton, analista de inteligencia de amenazas en el especialista en MDR Expel, destacó el hecho de que CDK fue violado por segunda vez después de restaurar brevemente algunos de sus sistemas. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre seguridad y delitos cibernéticos de IA, recientemente actualizado para 2024. “Algo que no hemos visto discutido sobre el ataque de ransomware CDK Global es que después del incidente inicial, la compañía restauró temporalmente algunos sistemas antes que los actores de amenazas. los derribó—otra vez”, explicó. “Durante un incidente, los equipos de seguridad están bajo una gran presión para que los sistemas vuelvan a estar en servicio; sin embargo, se debe tener mucho cuidado durante un incidente. La serie de eventos de este incidente sugiere que los actores del ransomware sabían que CDK Global restauró algunos sistemas. Desafortunadamente, parece que los delincuentes todavía estaban en la red de CDK, lo que les permitió comprometer los sistemas por segunda vez”. Walton agregó que los actores de amenazas priorizan mantener la persistencia en la red objetivo para maximizar su capacidad de extraer el rescate de su víctima. Esto subraya la importancia de garantizar que los actores de amenazas ya no tengan ningún punto de apoyo dentro de las redes antes de intentar restaurar los sistemas comprometidos, agregó. “La restauración de las víctimas desde una copia de seguridad amenaza las posibilidades de los actores de ransomware de recibir sus demandas. Como resultado, los actores de ransomware intentan cifrar o eliminar copias de seguridad para obligar aún más a la organización víctima a pagar el rescate”, dijo Walton. “A menudo, los actores de ransomware permanecerán en el entorno que han comprometido y monitorearán las comunicaciones de la víctima. Esto le da al actor influencia adicional y tiempo para tomar medidas preventivas, en caso de que una víctima intente encontrar soluciones alternativas para pagar el rescate”. Los operadores de BlackSuit probablemente sean especialistas en extorsión experimentados. Se ha registrado a BlackSuit ejecutando ransomware de doble extorsión desde mayo de 2023, según un informe. en el colectivo de ReliaQuest. La firma agregó que el grupo se dirige principalmente a empresas con sede en EE. UU. en sectores críticos, incluidos la educación y los bienes industriales. La investigación de ReliaQuest identificó una serie de técnicas comunes aprovechadas por BlackSuit en sus ataques, como el uso de herramientas como PsExec, protocolo de escritorio remoto (RDP), y Rubeus para el movimiento lateral, así como FTP para la exfiltración de datos. Si bien las técnicas del grupo no fueron descritas como particularmente novedosas en el informe, ReliaQuest señaló que su éxito continuo resalta su eficacia y la dificultad de una “mitigación adecuada”. El informe subrayó el hecho que múltiples investigaciones sobre el grupo, incluida una del Departamento de Salud y Servicios Humanos de EE. UU., observaron similitudes entre sus TTP y los del colectivo de ransomware Royal, un presunto sucesor del grupo Conti. ReliaQuest concluyó que las personas detrás de BlackSuit probablemente sean operadores experimentados. debido a la sofisticación y eficacia de sus técnicas y la elección de objetivos. «El pedigrí del grupo, los diversos métodos de implementación de malware y los procesos avanzados de cifrado y recuperación del sistema indican que los operadores de BlackSuit probablemente tengan experiencia y sean técnicamente competentes».