L'investigatore on-chain ZachXBT ha rivelato che CDK Global ha pagato agli hacker circa 25 milioni di dollari in Bitcoin per risolvere un grave attacco informatico poche settimane fa. Alcune settimane fa il fornitore di software per concessionarie di automobili del Nord America ha subito una grave violazione informatica che ha colpito più di 15.000 concessionarie di automobili negli Stati Uniti.
Leggi anche: L'exchange turco BtcTurk colpito da un attacco informatico
Tuttavia, ha annunciato in seguito che il suo servizio è tornato completamente online. Sebbene la società non abbia rivelato come abbia risolto il problema, i dati on-chain hanno ora dimostrato che ha deciso di pagare il riscatto.
Oltre 387 Bitcoin sono stati trasferiti su BlackSuit
Secondo i dati on-chain condivisi da ZachXBT, CDK Global ha trasferito 387.367 BTC per un valore di circa 25 milioni di dollari a bc1q0c il 21 giugno. Secondo quanto riferito, questo indirizzo è controllato da hacker affiliati al famigerato gruppo di ransomware BlackSuit. Dopo il trasferimento, gli hacker hanno spostato i fondi su scambi centralizzati.
Anche altri analisti di intelligence on-chain sostengono queste affermazioni. La CNN ha riferito che anche la piattaforma di intelligence blockchain TRM Labs ha confermato la transazione. È interessante notare che il CDK non ha inviato i fondi direttamente agli aggressori. Si è invece avvalso dei servizi di un’azienda specializzata nella gestione delle richieste di ransomware.
Nel frattempo si ipotizza perché CDK abbia aspettato un'intera settimana dopo aver effettuato i pagamenti prima di riavviare il servizio, soprattutto considerando che ha ripagato rapidamente gli aggressori. Probabilmente la società voleva potenziare i propri sistemi di sicurezza e sistemare le questioni in sospeso prima di riprendere le operazioni.
Tuttavia, CDK non ha rilasciato alcuna dichiarazione pubblica per confermare il pagamento, ma un rapporto precedente suggeriva che stesse valutando la possibilità di soddisfare la richiesta multimilionaria dell’aggressore. Tuttavia, l’importo pagato come riscatto sembra essere una frazione dell’impatto finanziario dell’incidente.
Il ransomware legato alle criptovalute sta tornando alla ribalta?
Gli aggressori di ransomware che richiedono pagamenti in criptovalute non sono una novità, ma questo incidente segna il più grande incidente per questi malintenzionati nel 2024. L'ultimo grande pagamento di ransomware è avvenuto a marzo, quando Change Healthcare ha pagato 350 BTC per un valore di 22 milioni di dollari al gruppo ransomware BlackCat o AlphV.
Prima di allora, i pagamenti in criptovalute legati al ransomware avevano raggiunto il picco di 1,1 miliardi di dollari nel 2023, con vittime che andavano da grandi aziende come Shell e British Airways a scuole e ospedali. Poiché gli aggressori hanno adottato diversi approcci, diverse forze dell’ordine, incluso l’FBI, hanno dichiarato guerra ai criminali di ransomware.
L’esperto di sicurezza Winston Ighodaro ha commentato:
"Il backup dei dati offline e l'utilizzo di un buon software antivirus aiutano a prevenire gli attacchi ransomware nella maggior parte dei casi, ma ciò non aiuta frequentemente poiché gli aggressori spesso minacciano di caricare i dati riservati delle vittime nel dark web per venderli o per chiunque se ne interessi."
Pagamenti del riscatto in Bitcoin (Fonte: Chainalysis)
Incidenti come il recente attacco a CDK Global dimostrano che i malintenzionati rimangono attivi e che le criptovalute sono ancora uno dei loro mezzi di pagamento preferiti. Tuttavia, la natura pubblica delle reti blockchain significa che è facile tracciare le loro reti finanziarie, il che ha aiutato le forze dell’ordine nel tentativo di abbattere questi cattivi attori.