前情回顾·供应商网络威胁态势

安全内参6月21日消息,美国汽车经销商软件SaaS厂商CDK Global近日遭受大规模网络攻击,导致公司关闭系统,客户无法正常经营业务。

CDK Global为汽车行业客户提供综合性SaaS平台,涵盖汽车经销店运营的各个方面,包括客户关系管理、融资、薪资、支持和服务、库存及后台运营。该公司在北美有超过1.5万家汽车经销店,在美国各地拥有数千名员工。

CDK建议客户断开服务连接

使用CDK服务之前,汽车经销店需要配置一个始终在线的VPN,连接到该SaaS提供商的数据中心,以便他们本地安装的应用程序可以访问平台。

从6月19日夜间到20日白天,CDK Global遭遇网络攻击。为防止攻击蔓延,该公司被迫关闭IT系统、电话和应用程序。

汽车经销商IT安全和服务公司Proton Dealership IT的首席执行官Brad Holton表示,攻击导致CDK在20日凌晨两点左右下线了两个数据中心。

许多汽车经销店的员工表示,除发送一封警告邮件外,CDK没有分享太多信息。CDK在邮件中表示:“我们目前正在经历网络事件。出于对客户的谨慎和关心,我们关闭了大部分系统。我们目前正在评估整体影响,目前尚不清楚何时可以恢复。”

一些员工也表达担忧,担心威胁行为者可能利用始终在线的VPN进入汽车经销店的内部网络。

一家汽车经销店的IT专业人士透露,CDK建议他们谨慎行事,断开始终在线的VPN连接。

Holton解释说,设备上运行的CDK软件具有部署更新的管理权限。这也是为什么CDK建议断开与数据中心的连接。

一些用户表示,他们可以使用在CDK切换到更新的单点登录平台时升级的旧凭据登录,但据外媒BleepingComputer了解,应用程序并未按预期工作。

下游产业大范围业务中断

由于系统关闭,使用CDK平台跟踪和订购汽车零部件、销售新车、提供融资的汽车经销商遭受广泛中断。

员工们在Reddit论坛抱怨,他们要么无事可做,要么被迫重新拿起纸笔工作。一些汽车经销店因服务中断,选择让员工提前回家。

一名汽车经销店员工在Reddit上发帖:“我们几乎无法工作……没有零部件,没有工作订单,没有时间安排……只有坏掉的车辆,却没有修车需要的零部件。”

另一位员工评论道:“我们分发的所有零部件都是记录在Excel表格和便条纸上。所以,现在无法展开任何大型工作。”

疑似勒索软件攻击

CDK向BleepingComputer分享了以下声明:“我们正在积极调查网络事件。出于谨慎和客户的和关心,我们关闭了大部分系统,并正在努力尽快恢复所有系统。”

6月19日下午,CDK向客户更新事态进展,表示已恢复了CDK电话服务、经销商管理系统(DMS)和数字零售服务。他们还表示Unify和DMS现在已经可以登录。

此外,他们仍在对所有其他应用程序进行测试,确认合格后再将其恢复在线。

尽管CDK没有说明此次网络攻击性质,但有传言称该公司遭受了勒索软件攻击,备份系统也受到影响。BleepingComputer尚无法独立确认这一信息,但如果确实是勒索软件攻击,这次中断可能会持续数天,甚至延续到下周乃至更长时间。

更新:多位知情人士称,此次攻击系BlackSuit勒索软件团伙所为,据悉该组织前身为Royal勒索软件团伙。

勒索软件团伙侵入公司网络后,会偷窃公司数据,同时悄然将勒索软件扩散到其他设备。一旦威胁行为者窃取了所有数据,并获得管理权限,他们会对网络上的所有设备进行加密,并留下勒索说明,告知如何联系黑客。

加密的设备和被窃取的数据将用于双重勒索计划。威胁行为者会要求受害者支付赎金换取解密工具和删除并不公开任何被盗数据的承诺。相关谈判可能持续数周。如果未支付赎金,威胁行为者最终会泄露公司数据,这些数据通常包括员工个人信息,也可能包括客户的个人信息。

参考资料:https://www.bleepingcomputer.com/news/security/cdk-global-cyberattack-impacts-thousands-of-us-car-dealerships/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。