Detektyw działający na łańcuchu ZachXBT ujawnił, że kilka tygodni temu CDK Global zapłaciło hakerom Bitcoiny o wartości około 25 milionów dolarów za zażegnanie poważnego cyberataku. Dostawca oprogramowania dla salonów samochodowych w Ameryce Północnej kilka tygodni temu doświadczył poważnego naruszenia cyberbezpieczeństwa, które dotknęło ponad 15 000 salonów samochodowych w USA.

Przeczytaj także: Turecka giełda BtcTurk ofiarą cyberataku

Jednak później ogłosił, że jego usługa jest w pełni dostępna online. Chociaż firma nie ujawniła, w jaki sposób rozwiązała problem, dane w łańcuchu pokazały, że zdecydowała się zapłacić okup.

Do BlackSuit przekazano ponad 387 Bitcoinów

Według danych sieciowych udostępnionych przez ZachXBT, 21 czerwca CDK Global przekazało bc1q0c 387,367 BTC o wartości około 25 milionów dolarów. Według doniesień adres ten jest kontrolowany przez hakerów powiązanych z osławioną grupą oprogramowania ransomware BlackSuit. Po transferze hakerzy przenieśli środki na scentralizowane giełdy.

Inni analitycy wywiadu w łańcuchu również potwierdzają te twierdzenia. CNN poinformowało, że platforma wywiadowcza blockchain TRM Labs również potwierdziła transakcję. Co ciekawe, CDK nie wysłało środków bezpośrednio do atakujących. Zamiast tego skorzystał z usług firmy specjalizującej się w obsłudze żądań oprogramowania ransomware.

Tymczasem pojawiają się spekulacje, dlaczego CDK po dokonaniu płatności czekał cały tydzień z ponownym uruchomieniem usługi, zwłaszcza że szybko się to opłaciło atakującym. Firma prawdopodobnie chciała ulepszyć swoje systemy bezpieczeństwa i uporządkować luźne wątki przed wznowieniem działalności.

CDK nie wydało jednak żadnego publicznego oświadczenia potwierdzającego płatność, ale z wcześniejszego raportu sugerowano, że rozważa spełnienie wielomilionowego żądania napastnika. Mimo to kwota zapłacona jako okup wydaje się stanowić ułamek finansowych skutków incydentu.

Czy oprogramowanie ransomware związane z kryptowalutami powraca?

Osoby atakujące oprogramowanie ransomware żądające płatności w kryptowalutach nie są niczym nowym, ale ten incydent oznacza największy incydent dla tych złych aktorów w 2024 r. Ostatnia duża płatność za oprogramowanie ransomware miała miejsce w marcu, kiedy firma Change Healthcare zapłaciła 350 BTC o wartości 22 milionów dolarów grupie oprogramowania ransomware BlackCat lub AlphV.

Wcześniej płatności kryptograficzne związane z oprogramowaniem ransomware osiągnęły najwyższy poziom 1,1 miliarda dolarów w 2023 r., a ofiarami były zarówno duże korporacje, takie jak Shell i British Airways, jak i szkoły i szpitale. Ponieważ napastnicy stosowali różne podejścia, kilka organów ścigania, w tym FBI, wypowiedziało wojnę przestępcom korzystającym z oprogramowania ransomware.

Ekspert ds. bezpieczeństwa Winston Ighodaro skomentował:

„Tworzenie kopii zapasowych danych w trybie offline i korzystanie z dobrego oprogramowania antywirusowego pomaga w większości przypadków zapobiegać atakom oprogramowania ransomware, ale nie pomaga to często, ponieważ napastnicy często grożą przesłaniem poufnych danych ofiar do ciemnej sieci w celu sprzedaży lub dla kogokolwiek, kogo to obchodzi”.

Płatności okupu w Bitcoinach (źródło: Chainalytic)

Incydenty takie jak niedawny atak na CDK Global pokazują, że nieuczciwi aktorzy pozostają aktywni, a kryptowaluty nadal są jednym z ich preferowanych środków płatniczych. Jednak publiczny charakter sieci blockchain oznacza, że ​​łatwo jest śledzić ich sieci finansowe, co pomogło organom ścigania w wysiłkach zmierzających do pokonania tych złych aktorów.