Bí mật về nhóm BlackSuit đứng sau vụ hack CDK Global làm đảo lộn ngành công nghiệp ô tô Mỹ

Thế giới số - Ngày đăng : 23:12, 27/06/2024

Vụ tấn công mạng vào hãng sản xuất phần mềm CDK Global đã làm gián đoạn hoạt động tại nhiều đại lý ô tô trên khắp nước Mỹ. Đây là sự việc mới nhất trong hàng loạt vụ hack mà hacker đòi tiền chuộc nhắm vào các công ty lớn.
Thế giới số

Bí mật về nhóm BlackSuit đứng sau vụ hack CDK Global làm đảo lộn ngành công nghiệp ô tô Mỹ

Sơn Vân {Ngày xuất bản}

Vụ tấn công mạng vào hãng sản xuất phần mềm CDK Global đã làm gián đoạn hoạt động tại nhiều đại lý ô tô trên khắp nước Mỹ. Đây là sự việc mới nhất trong hàng loạt vụ hack mà hacker đòi tiền chuộc nhắm vào các công ty lớn.

CDK Global là nhà cung cấp phần mềm và dịch vụ công nghệ hàng đầu cho ngành công nghiệp ô tô. Có trụ sở chính tại thành phố Hoffman Estates (bang Illinois, Mỹ), CDK Global cung cấp các giải pháp toàn diện cho các đại lý xe hơi, nhà sản xuất ô tô và các bên liên quan khác trong chuỗi giá trị ô tô.

CDK Global tạo ra phần mềm thường được các đại lý ô tô sử dụng để xử lý việc bán hàng và các giao dịch khác. Theo báo chí địa phương, sau hack CDK Global, nhiều đại lý ô tô ở Mỹ đã bắt đầu xử lý các giao dịch theo cách thủ công.

Dưới đây là thông tin về BlackSuit, nhóm hacker bị các nhà phân tích cho là thủ phạm của vụ tấn công mạng nhắm vào CDK.

BlackSuit là ai?

Không có nhiều thông tin về BlackSuit nhưng nhóm hacker này xuất hiện vào tháng 5.2023. Các nhà phân tích cho biết BlackSuit là một nhóm tội phạm mạng tương đối mới được tách ra từ RoyalLocker - nhóm hacker lâu đời và nổi tiếng có liên kết với Nga.

RoyalLocker chủ yếu tấn công các công ty Mỹ và là nhóm hacker đáng gờm được thành lập từ một băng nhóm đình đám khác có tên Conti. Theo các nhà phân tích, RoyalLocker có thể là nhóm dùng ransomware hoạt động bền bỉ thứ ba sau LockBit và ALPHV.

Ransomware là loại phần mềm độc hại (malware) được thiết kế để xâm nhập vào máy tính hoặc mạng máy tính, sau đó mã hóa dữ liệu trên hệ thống và yêu cầu người sử dụng trả một khoản tiền chuộc để nhận được khóa giải mã và khôi phục quyền truy cập vào dữ liệu của họ.

Khi hệ thống hoặc file bị mã hóa bởi ransomware, người sử dụng sẽ nhận được thông báo yêu cầu thanh toán một số tiền thông qua các phương tiện thanh toán điện tử như Bitcoin. Sau khi thanh toán được thực hiện, hacker sẽ cung cấp công cụ giải mã để khôi phục dữ liệu bị mã hóa.

Ransomware có thể lây nhiễm thông qua email và trang web độc hại, hoặc cả những lỗ hổng bảo mật trong hệ thống. Nó đã trở thành một mối đe dọa lớn với cá nhân, doanh nghiệp và tổ chức. Các biến thể của ransomware ngày càng trở nên phức tạp với mục tiêu đa dạng từ việc tấn công người dùng cá nhân đến các tổ chức lớn.

Tuy nhiên, BlackSuit không mạnh mẽ như những nhóm khác. Kimberly Goody, người đứng đầu bộ phận phân tích tội phạm mạng tại hãng Mandiant Intelligence, cho biết số lượng nạn nhân mà BlackSuit liệt kê trên trang web phát tán dữ liệu cho thấy nó không có nhiều nạn nhân như các băng nhóm ransomware lớn hơn.

Mandiant Intelligence là một nhánh cung cấp dịch vụ tình báo về mối đe dọa mạng của công ty Mandiant, thuộc sở hữu Google. Mandiant Intelligence chuyên cung cấp cho các tổ chức thông tin chi tiết và hành động được hỗ trợ bởi dữ liệu về các mối đe dọa mạng hiện tại và mới nổi.

Bà Kimberly Goody nói: “Phần lớn nạn nhân của BlackSuit chủ yếu sống ở Mỹ, tiếp theo là Vương quốc Anh, Canada và trải rộng trên nhiều lĩnh vực”.

tiet-lo-ve-nhom-blacksuit-dung-sau-vu-hack-cdk-global-lam-dao-lon-nganh-cong-nghiep-o-to-my.jpg
Vụ tấn công mạng của BlackSuit vào CDK Global làm gián đoạn hoạt động tại nhiều đại lý ô tô trên khắp nước Mỹ - Ảnh: Reuters

BlackSuit đã tấn công mạng bao nhiêu tổ chức?

Theo công ty bảo mật Recorded Future, BlackSuit đã xâm nhập ít nhất 95 tổ chức trên toàn cầu.

Recorded Future cho biết: “Số nạn nhân thực sự của BlackSuit có thể cao hơn nhiều”. Nạn nhân hầu hết là các tổ chức của Mỹ trong các lĩnh vực như hàng hóa công nghiệp và giáo dục, theo bài đăng trên blog hãng an ninh mạng ReliaQuest vào tháng trước.

Kimberly Goody nói: “Chúng tôi đã thấy những kẻ đe dọa nói tiếng Nga liên kết với BlackSuit kêu gọi hợp tác trong các diễn đàn ngầm để cung cấp quyền truy cập vào các công ty, gần đây nhất là vào tuần trước”.

Blacksuit hoạt động như thế nào?

BlackSuit được biết là thực hiện “tống tiền kép”, theo thuật ngữ mạng có nghĩa là đánh cắp dữ liệu nhạy cảm của tổ chức là nạn nhân, khóa hệ thống của họ và đe dọa phát tán thông tin.

Kimberly Goody cho biết BlackSuit đã cung cấp cơ sở hạ tầng hack cho các nhóm tội phạm mạng đối tác nhỏ hơn được gọi là “chi nhánh”. BlackSuit cung cấp hỗ trợ liên quan đến tống tiền cho các đối tác của mình, gồm cả những tài nguyên để quấy rối nạn nhân hoặc tấn công trang web để gây áp lực buộc họ phải trả tiền.

Phản ứng của CDK Global

CDK Global hôm 26.5 cho biết đã đưa một "nhóm thử nghiệm ban đầu nhỏ" gồm các đại lý vào DMS (hệ thống quản lý đại lý) của mình sau khi sự cố phần mềm ngừng hoạt động do tấn công mạng ảnh hưởng đến các đại lý ô tô trên khắp Mỹ. DMS cung cấp cho các đại lý ô tô các công cụ cần thiết để quản lý hoạt động kinh doanh hàng ngày của họ, gồm bán hàng, dịch vụ, bộ phận và tài chính.

“Sau khi quá trình xác thực hoàn tất, DMS sẽ bắt đầu được triển khai theo từng giai đoạn tại các đại lý khác”, CDK Global tuyên bố.

Hôm 19.6, CDK Global đã nhanh chóng đóng cửa tất cả hệ thống của mình sau vụ hack và cho biết đang điều tra một sự cố mạng.

Theo trang web của mình, CDK Global hoạt động với hơn 15.000 địa điểm bán lẻ trên khắp Bắc Mỹ.

Công ty nói thêm rằng cũng đang nỗ lực đưa hoạt động quản lý quan hệ khách hàng, giải pháp dịch vụ và các kênh chăm sóc khách hàng trở lại trực tuyến.

Việc CDK Global ngừng hoạt động liên tục đã buộc một số đại lý ô tô ở Mỹ phải quay lại phương pháp thủ tục giấy tờ thủ công. Hôm 25.6, Reuters đưa tin vụ việc này đã ảnh hưởng đến khoảng một nửa số đại lý của Volkswagen và khoảng 60% đại lý của Audi tại Mỹ.

Cliff Steinhauer, quan chức của Liên minh An ninh mạng Quốc gia Mỹ, cho biết việc ngừng hoạt động ảnh hưởng đến hệ thống quản lý đại lý của CDK Global “làm chậm đáng kể” ngành bán lẻ ô tô.

Công ty nghiên cứu thị trường Cox Automotive cho biết tác động của cuộc tấn công mạng có thể ít hơn nhiều so với lo ngại và phần lớn doanh số bán hàng có thể sẽ phục hồi trở lại vào tháng 7.

Tuy nhiên, một số đại lý ô tô lớn đã báo hiệu hoạt động của họ bị ảnh hưởng.

AutoNation, nhà bán lẻ ô tô hàng đầu ở Mỹ, nói việc phần mềm ngừng hoạt động đã gây gián đoạn và ảnh hưởng tiêu cực đến hoạt động kinh doanh của mình, dù các cửa hàng thuộc công ty vẫn mở, tiếp tục bán, bảo dưỡng và mua xe.

Peer Lithia Motors cho biết đã gặp phải sự gián đoạn trong hệ thống lưu trữ trên CDK ở Bắc Mỹ và sự cố có thể có tác động tiêu cực đến hoạt động kinh doanh của họ cho đến khi hệ thống được khôi phục hoàn toàn.

Jim Seavitt, chủ đại lý Village Ford ở thành phố Dearborn (bang Michigan, Mỹ), nói việc CDK Global ngừng hoạt động đến nay không làm giảm doanh số bán hàng nhưng khiến quá trình giao hàng trở nên tốn nhiều công sức hơn.

Jim Seavitt cho biết đại lý này đã bán được gần 100 chiếc ô tô trong đợt giảm giá lớn diễn ra vào tuần trước, nhưng vì CDK Global tạo ra các thủ tục giấy tờ cần thiết để chính thức bàn giao xe cho khách hàng nên những chiếc ô tô đó đang trong tình trạng lấp lửng.

Jim Seavitt dự kiến ​​số ô tô đó sẽ được chuyển giao trong tuần này sau khi nhóm của ông phát triển những cách khác để hoàn thành các thủ tục giấy tờ cần thiết. CDK Global đã nói với Jim Seavitt rằng các dịch vụ có thể sẽ ngừng hoạt động cho đến giữa tuần này. Jim Seavitt nói: “Chúng tôi không muốn thấy chuyện này kéo dài”.

AutoNation và đối thủ Group 1 Automotive cho biết họ đang sử dụng các quy trình thay thế như thủ tục giấy tờ thủ công để điều hành doanh nghiệp. Cả hai đều thông báo đã thực hiện các bước phòng ngừa để bảo vệ dữ liệu của mình.

Group 1 Automotive tuyên bố: “Thời điểm khôi phục các ứng dụng CDK Global bị ảnh hưởng khác vẫn chưa rõ ràng vào thời điểm này”.

Đại lý ô tô Asbury Automotive cũng báo hiệu bị ảnh hưởng từ sự cố ngừng hoạt động, nhưng không thể "xác nhận toàn bộ phạm vi, bản chất và tác động của sự cố, hoặc liệu bất kỳ dữ liệu khách hàng nào bị truy cập".

Nhà bán lẻ ô tô Sonic Automotive tuần trước nói sự cố ngừng hoạt động của CDK Global có khả năng ảnh hưởng tiêu cực đến hoạt động kinh doanh của họ cho đến khi các hệ thống được khôi phục hoàn toàn.

Tuần trước, trang Bloomberg đưa tin nhóm hacker nhận trách nhiệm về vụ tấn công vào hệ thống phần mềm của CDK đã yêu cầu tiền chuộc hàng triệu USD để chấm dứt vụ hack.

Jim Seavitt hy vọng CDK sẽ trả tiền chuộc để các đại lý ô tô có thể tiếp tục hoạt động kinh doanh như bình thường.

Các nhà phân tích của ngân hàng Citi cho biết trong một ghi chú vào tuần trước: “Chúng tôi lưu ý một số rủi ro tiềm ẩn với doanh số ô tô ở Mỹ vào cuối tháng 6 do sự gián đoạn mà CDK đã báo cáo”.

Tổng doanh số bán lẻ ô tô mới ở Mỹ đạt 1,1 triệu chiếc vào tháng 6.2023, theo dữ liệu từ các nhà tư vấn ngành J.D. Power và GlobalData.

Sơn Vân