- Một vụ tấn công mạng nhằm vào nhà sản xuất phần mềm CDK Global đã làm gián đoạn hoạt động tại một loạt đại lý ô tô trên khắp nước Mỹ. Đây là vụ tấn công mới nhất trong một loạt vụ hack trong đó tội phạm mạng đòi tiền chuộc nhằm vào các công ty lớn bằng cách xâm nhập vào các nhà cung cấp phần mềm.
 |
| Ảnh minh họa |
CDK tạo ra phần mềm thường được các đại lý ô tô sử dụng để xử lý việc bán hàng và các giao dịch khác. Theo báo chí địa phương, sau vụ hack, nhiều đại lý đã phải xử lý các giao dịch theo cách thủ công, gây khó khăn cho công việc của họ và làm ảnh hưởng đến đại lý.
Dưới đây là thông tin thêm về BlackSuit - nhóm hacker mà các nhà phân tích tin là lực lượng đứng đằng sau vụ tấn công mạng nhằm vào công ty CDK:
BlackSuit là ai?
Không có nhiều thông tin về nhóm này, nhưng nó xuất hiện vào tháng 5 năm 2023. Các nhà phân tích cho biết đây là một nhóm tội phạm mạng tương đối mới được tách ra từ một nhóm hack lâu đời và nổi tiếng có tên RoyalLocker.
RoyalLocker chủ yếu tấn công các công ty Mỹ và là một nhóm hacker đáng gờm được thành lập từ một băng nhóm mạnh khác tên là Conti. Theo các nhà phân tích, Royal có thể là nhóm ransomware dai dẳng thứ ba sau LockBit và ALPHV.
Tuy nhiên, BlackSuit không mạnh như các nhóm khác. Bà Kimberly Goody, người đứng đầu bộ phận phân tích tội phạm mạng tại Mandiant Intelligence, cho biết số lượng nạn nhân mà nó liệt kê trên trang web rò rỉ dữ liệu cho thấy nó không có nhiều đối tác hack như các băng đảng ransomware lớn hơn.
Bà Goody nói: “Phần lớn nạn nhân của BlackSuit chủ yếu sống ở Mỹ, tiếp theo là Vương quốc Anh và Canada và trải rộng trên nhiều lĩnh vực”.
Có bao nhiêu tổ chức bị BlackSuit hack?
Theo công ty bảo mật Recorded Future, BlackSuit đã xâm nhập ít nhất 95 tổ chức trên toàn cầu.
Công ty Recorded Future cho biết qua email rằng: “Số nạn nhân thực sự của BlackSuit có thể cao hơn nhiều”.
Theo một blog vào tháng trước của công ty bảo mật ReliaQuest, nạn nhân hầu hết là các tổ chức của Mỹ trong các lĩnh vực như hàng công nghiệp và giáo dục.
BlackSuit hoạt động như thế nào?
BlackSuit được biết là thực hiện “tống tiền kép”, theo thuật ngữ mạng có nghĩa là nó đánh cắp dữ liệu nhạy cảm của tổ chức nạn nhân, khóa hệ thống của tổ chức đó và cũng đe dọa rò rỉ thông tin.
Bà Goody cho biết BlackSuit đã cung cấp cơ sở hạ tầng hack cho các nhóm tội phạm mạng đối tác nhỏ hơn khác được gọi là “các chi nhánh”. BlackSuit cung cấp hỗ trợ liên quan đến tống tiền cho các đối tác của mình, bao gồm các nguồn lực giúp chúng có thể quấy rối nạn nhân hoặc tấn công trang web của họ để gây áp lực buộc họ phải trả tiền.
