Хакерска група, наречена BlackSuit, стои зад кибератаката срещу CDK Global, която парализира продажбите на автомобили в САЩ, твърди Алън Лиска, анализатор на заплахите във фирмата за сигурност Recorded Future Inc.
Киберпрестъпната група е поискала от CDK заплащане за изнудване в размер на десетки милиони долари, като CDK планира да извърши плащането, съобщи Bloomberg News в петък. Името на CDK не беше посочено в понеделник на уебсайта, на който BlackSuit назовава жертвите си за изнудване, което може да е индикация, че компанията все още води преговори с групата или е платила откуп, каза Лиска, който специализира в разследвания на рансъмуер и е водил разговори с участниците в случая с CDK.
CDK отказа да коментира самоличността на нападателите в понеделник. Компанията очаква да възстанови услугите в рамките на следващите дни и работи с правоприлагащите органи, заяви говорителят на компанията Лиза Фини.
Министерството на здравеопазването и човешките ресурси на САЩ неотдавна обяви в предупреждение, че BlackSuit трябва да бъде "внимателно наблюдавана" като заплаха, отчасти поради връзката на бандата с други групи за изнудване. Тя използва зловреден софтуер и техники за атаки, които са забележително сходни с несъществуващата рускоезична банда Conti, което подсказва на киберизследователите, че BlackSuit е съставена отчасти от опитни руски хакери.
Групата функционира като банда, предоставяща рансъмуер като услуга, в която членовете й отдават под наем техническите си инструменти на филиали и искат дял от всички плащания за изнудване.
Според Джон Клей, изследовател на заплахите във фирмата за киберсигурност TrendMicro, BlackSuit има потенциални връзки с друга група, известна като Royal Ransomware.
Според американската Агенция за киберсигурност и инфраструктурна сигурност зловредният софтуер на BlackSuit споделя код с инструментите на Royal Ransomware. Степента, до която групите са съставени от едни и същи хора, остава неясна.
Royal Ransomware е бил насочен към най-малко 350 жертви и е поискал над 275 млн. долара под формата на откуп през 2022 г. и 2023 г., според ФБР и CISA, звено на Министерството на вътрешната сигурност.
Междувременно BlackSuit е специализиран в хакването на системи на Linux и Windows, според киберфирмата Tripwire Inc. Тапетът на работния плот на пробитите компютри насочва към бележка за откуп, която насърчава жертвата да се свърже с групата чрез сайт в тъмната мрежа.
Преди това същата банда публикува стотици файлове, откраднати от полицейското управление в Канзас Сити, щата Канзас. Близо 200 центъра за даряване на плазма по света също бяха затворени в резултат на дейността на BlackSuit през април. Групата си приписва заслуги за атаки срещу училищна система в Джорджия и за кражба на повече от 200 гигабайта данни от университет в Индиана.
Новинарският сайт за киберсигурност Bleeping Computer по-рано съобщи за участието на BlackSuit в хакерската атака срещу CDK, като се позова на неназовани източници.