CDK Global ha annunciato che il sistema di gestione online per concessionarie auto (DMS), interrotto da un massiccio attacco ransomware il 18 giugno, sarà completamente operativo per tutte le concessionarie entro giovedì. L'azienda sta lavorando intensamente per ripristinare anche altre applicazioni colpite, tra cui quelle dedicate alla gestione delle relazioni con i clienti (CRM), ONE-EIGHTY e servizi di assistenza.

La portavoce di CDK, Lisa Finney, ha dichiarato a BleepingComputer:

Stiamo continuando con il nostro approccio graduale al processo di ripristino e stiamo rapidamente riattivando il Dealer Management System (DMS) per le concessionarie. Prevediamo che tutte le connessioni dei concessionari saranno attive entro la tarda serata di mercoledì 3 luglio o la mattina presto di giovedì 4 luglio.

La piattaforma di CDK Global, un fornitore di servizi software-as-a-service (SaaS), è utilizzata da oltre 15.000 concessionarie auto in Nord America per gestire operazioni cruciali come vendite, finanziamenti, inventario, assistenza e funzioni di back-office. L'attacco informatico di giugno ha costretto l'azienda a chiudere i propri sistemi IT e data center, causando interruzioni diffuse. Le concessionarie sono state costrette a tornare a metodi manuali, come l'uso di carta e penna, e gli acquirenti non hanno potuto acquistare auto o ricevere assistenza per i veicoli già acquistati.

CDK ha subito un secondo attacco Hacker da parte della gang BlackSuit

Durante il tentativo di ripristinare il servizio, CDK ha subito un secondo cyberattacco, che ha portato alla disattivazione di tutti i sistemi IT e di login per contenere la violazione. Due settimane fa, CDK ha avvisato le concessionarie di malintenzionati che si spacciavano per affiliati o agenti CDK per ottenere accesso non autorizzato ai loro sistemi.

L'attacco ransomware è stato attribuito alla gang BlackSuit. Questo gruppo è ritenuto un rebrand dell'operazione ransomware Royal e il diretto successore del sindacato del cybercrimine Conti. Dopo aver attaccato la città di Dallas, in Texas, nel giugno 2023, Royal ha iniziato a operare sotto il nome BlackSuit. Un avviso congiunto dell'FBI e della CISA nel novembre 2023 ha rivelato che Royal e BlackSuit condividono tattiche simili, con evidenti sovrapposizioni di codice nei loro decryptor.

La stessa comunicazione collegava Royal ad attacchi contro oltre 350 organizzazioni a partire da settembre 2022, con richieste di riscatto che superano i 275 milioni di dollari. CDK Global sta negoziando con il gruppo ransomware per ottenere un decryptor e prevenire la divulgazione online dei dati rubati. Il ripristino completo dei servizi rappresenta un passo fondamentale per le concessionarie colpite, permettendo loro di tornare a operare normalmente.