自動車ディーラーに影響を及ぼすCDKグローバルサイバー攻撃の背後にいた「BlackSuite」ハッカーが発見される

自動車販売店向け大手ソフトウェアプロバイダーである CDK Global に対する最近のサイバー攻撃により、米国全土の業務に大きな混乱が生じています。この事件は、舞台裏のソフトウェアサプライヤーを通じて大企業を標的とするランサムウェア攻撃の増加傾向を浮き彫りにしています。

CDK Globalのソフトウェアは自動車販売店にとって販売や取引処理を容易にする上で欠かせないものだ。地元報道によると、ハッキングの結果、多くの販売店が手作業による処理方法に戻らざるを得なくなり、効率や顧客サービスに影響が出ているという。

BlackSuit の紹介: 攻撃の背後にいるグループ

CDK Global のハッキングを行ったサイバー犯罪グループは BlackSuit として知られています。2023 年 5 月に登場した BlackSuit は、サイバー犯罪の世界では比較的新しい組織で、悪名高いロシア関連のハッキンググループ RoyalLocker から派生したものだと考えられています。RoyalLocker 自体は悪名高い歴史を持ち、多作な Conti ギャングから派生し、米国企業を広範囲に標的にしてきました。アナリストは RoyalLocker を LockBit と ALPHV に次ぐ、最も執拗なランサムウェアグループの 1 つと見なしています。

対照的に、BlackSuit は以前のグループほど攻撃的ではないようだ。このグループのデータ漏洩サイトには、より大規模なランサムウェア集団に比べて被害者が少ないことが示されており、他のグループに見られるようなハッキングパートナーの広範なネットワークがないことを示唆している。Mandiant Intelligence のサイバー犯罪分析責任者である Kimberly Goody 氏は、BlackSuit の被害者の大半は米国に拠点を置いており、次いで英国とカナダで、さまざまな分野にまたがっていると指摘している。

BlackSuitの活動範囲

セキュリティ会社 Recorded Future は、BlackSuit が世界中で少なくとも 95 の組織に侵入したと報告しています。ただし、実際の被害者数はもっと多い可能性があります。セキュリティ会社 ReliaQuest のブログで指摘されているように、これらの攻撃の大半は、工業製品や教育などの分野のアメリカの組織を特に標的にしています。

グッディ氏によると、ブラックスーツは地下フォーラムでも活発に活動しており、先週も同グループに所属するロシア語を話す脅威アクターらが、より多くの企業へのアクセスを得るために提携先を模索していたという。

ブラックスーツの手口

BlackSuit は「二重恐喝」と呼ばれる戦術を採用しています。これは、被害者組織から機密データを盗み、システムをロックし、身代金を支払わなければ盗んだ情報を漏らすと脅迫するものです。さらに、BlackSuit はハッキング インフラストラクチャと恐喝関連のサポートを、アフィリエイトと呼ばれる小規模なパートナー グループに提供しています。このサポートには、被害者に嫌がらせをしたり、身代金の支払いを迫るために Web サイトをダウンさせたりするためのリソースが含まれます。

CDK Global のハッキングは、ランサムウェア攻撃、特に重要なソフトウェア サプライヤーを狙った攻撃の脅威が増大していることをはっきりと示しています。組織は警戒を怠らず、進化する脅威から身を守るためにサイバー セキュリティ対策を強化する必要があります。

自動車ディーラーに影響を及ぼすCDKグローバルサイバー攻撃の背後にいた「BlackSuite」ハッカーが発見されるスクリーンショット