El hacker de «BlackSuit» detrás del ataque CDK Global que afectó a los concesionarios de automóviles de EE. UU.

Un ataque informático al fabricante de software CDK Global ha interrumpido las operaciones de concesionarios de automóviles en todo Estados Unidos, el último de una serie de ataques en los que cibercriminales que exigen rescates atacan a grandes empresas atacando a proveedores de software que trabajan detrás de escena.
CDK fabrica un software que los concesionarios de automóviles suelen utilizar para procesar ventas y otras transacciones. A raíz del ataque, muchos concesionarios han comenzado a procesar las transacciones manualmente, según informes de la prensa local. Aquí hay más información sobre BlackSuit, el grupo de piratas informáticos que, según los analistas, está detrás del ataque a CDK:

¿QUIÉN/QUÉ ES BLACKSUIT?

No se sabe mucho sobre el grupo, pero surgió en mayo de 2023. Los analistas dicen que es un equipo cibercriminal relativamente nuevo derivado de un grupo de piratería más antiguo y conocido vinculado a Rusia llamado RoyalLocker. RoyalLocker atacaba principalmente a empresas estadounidenses y era un formidable grupo de piratas informáticos que surgió de otra prolífica banda llamada Conti. Royal probablemente era el tercer grupo de ransomware más persistente después de LockBit y ALPHV, según los analistas. Sin embargo, BlackSuit no es tan agresivo como los demás.
La cantidad de víctimas que enumera en su sitio de filtración de datos sugiere que no tiene tantos socios de piratería como las bandas de ransomware más grandes, dijo Kimberly Goody, jefa de análisis de delitos cibernéticos de Mandiant Intelligence. “La mayoría de las víctimas de BlackSuit residen en Estados Unidos, seguidas por el Reino Unido y Canadá, y abarcan una amplia gama de sectores”, afirmó.

¿CUÁNTAS ORGANIZACIONES HA HACKEADO BLACKSUIT?

Según la firma de seguridad Recorded Future, ha violado al menos 95 organizaciones a nivel mundial. “El número real de víctimas de BlackSuit es probablemente mucho mayor”, dijo la firma por correo electrónico. Según un blog publicado el mes pasado por la empresa de seguridad ReliaQuest, en su mayoría se trataba de organizaciones estadounidenses en áreas como bienes industriales y educación. «Hemos visto actores de amenazas de habla rusa afiliados a BlackSuit solicitando asociaciones en foros clandestinos para brindar acceso a empresas, tan recientemente como la semana pasada», dijo Goody.

¿CÓMO FUNCIONA BLACKSUIT?

Se sabe que BlackSuit lleva a cabo “doble extorsión”, lo que en términos cibernéticos significa que roba datos confidenciales de la organización víctima, bloquea sus sistemas y también amenaza con filtrar información. Goody de Mandiant dijo que BlackSuit había proporcionado infraestructura de piratería a otros grupos más pequeños de ciberdelincuentes conocidos como «afiliados». BlackSuit brindó apoyo relacionado con la extorsión a sus socios, incluidos recursos para acosar a las víctimas o cerrar sus sitios web para presionarlas a pagar.
Información de Christopher Bing y Zeba Siddiqui; Edición de Chris Sanders y Chris Reese
Fuente: reuters

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.