
¿Quiénes son los hackers “BlackSuit” detrás del ciberataque CDK a concesionarios de automóviles estadounidenses?

SAN FRANCISCO – Un ataque de piratas informáticos al fabricante de software CDK Global ha interrumpido las operaciones de los concesionarios de automóviles en todo Estados Unidos. Es el último de una serie de ataques de piratería en los que los ciberdelincuentes que exigen rescates se han dirigido a grandes empresas obteniendo acceso entre bastidores a proveedores de software.
CDK fabrica software que los concesionarios de automóviles utilizan ampliamente para procesar ventas y otras transacciones. Después del ataque de los piratas informáticos, muchos comerciantes comenzaron a procesar las transacciones manualmente, según informes de la prensa local.
Aquí hay más información sobre BlackSuit, el grupo de hackers que, según los analistas, estuvo detrás del hack de CDK:
¿Quién/Qué es BlackSuit?
No se sabe mucho sobre el grupo, pero surgieron en mayo de 2023. Según los analistas, se trata de un equipo cibercriminal relativamente nuevo que surgió de un grupo de hackers más antiguo y conocido conectado con Rusia llamado RoyalLocker.
RoyalLocker, que pirateaba principalmente empresas estadounidenses, era un formidable grupo de piratería que surgió de otra prolífica banda llamada Conti. Royal fue probablemente el tercer grupo de ransomware más fuerte después de LockBit y ALPHV, según los analistas.
Pero BlackSuit no es tan agresivo como los demás. El número de víctimas que figuran en el sitio web de filtración de datos sugiere que la compañía no tiene tantos socios de piratería como las bandas de ransomware más grandes, dijo Kimberly Goody, jefa de análisis de delitos cibernéticos de Mandiant Intelligence.
“La gran mayoría de las víctimas de BlackSuit provienen de Estados Unidos, seguidos por el Reino Unido y Canadá, y abarcan una amplia gama de industrias”, dijo.
¿Cuántas organizaciones han sido hackeadas por BlackSuit?
Según la empresa de seguridad Recorded Future, al menos 95 organizaciones en todo el mundo han resultado infectadas.
“El número real de víctimas de BlackSuit probablemente sea mucho mayor”, dijo la compañía en un correo electrónico.
Según un blog de la firma de seguridad ReliaQuest el mes pasado, se trataba principalmente de organizaciones estadounidenses en los sectores de bienes industriales y educación.
“La semana pasada, observamos a actores de amenazas de habla rusa asociados con BlackSuit solicitando asociaciones en foros clandestinos para obtener acceso a empresas”, dijo Goody.
¿Cómo funciona BlackSuit?
BlackSuit es conocido por su “doble chantaje”. En el ciberespacio, esto significa que los atacantes roban datos confidenciales de la organización afectada, bloquean sus sistemas y también amenazan con transmitir información.
Goody de Mandiant dijo que BlackSuit proporcionó infraestructura de piratería a otros grupos de socios cibercriminales más pequeños conocidos como “afiliados”. BlackSuit ofreció a sus socios asistencia en materia de extorsión, incluidos recursos para acosar a las víctimas o cerrar sus sitios web para presionarlas a pagar.