O ataque de ransomware ao provedor de software CDK Global, que impactou mais de 15.000 concessionárias na América do Norte, oferece lições que transcendem o setor automotivo.
Este grave incidente serve como um alerta para todas as indústrias que dependem de cadeias de suprimentos complexas e interconectadas.
Neste artigo, exploramos em detalhes o ataque de ransomware à CDK e seus impactos significativos na supply chain automotiva norte-americana.
Além disso, discutimos as lições aprendidas que podem beneficiar empresas de diversos setores, fornecendo insights valiosos sobre como prevenir e mitigar os efeitos de ciberameaças emergentes. Boa leitura!
Como ocorreu o ataque de ransomware à CDK Global?
Em junho de 2024, a CDK Global, fornecedora de software para concessionárias de automóveis, sofreu dois ataques consecutivos de ransomware.
Esses ataques atingiram um dos principais elos da supply chain automotiva no continente norte-americano, afetando mais de 15.000 concessionárias na região.
No primeiro ataque, a CDK foi forçada a desligar seus dois data centers. Embora a empresa não tenha divulgado muitos detalhes, sabe-se que o ataque estava relacionado ao VPN sempre ativo da empresa.
As concessionárias utilizam esta conexão VPN especial para acessar a plataforma da CDK, permitindo que o software instalado se atualize automaticamente.
Devido a isso, a CDK recomendou a desconexão de seus data centers durante o incidente.
Enquanto ainda se recuperava do primeiro ataque, a CDK foi novamente atacada em 19 de junho, resultando em um novo desligamento dos sistemas.
Durante a restauração de alguns serviços, outro incidente cibernético ocorreu, levando a empresa a desligar proativamente a maioria de seus sistemas.
Esses ciberataques interromperam atividades críticas, como serviços de financiamento, inventário, back office e folha de pagamento, causando grandes transtornos às operações das concessionárias.
A situação forçou as revendas de automóveis dos EUA e Canadá a recorrerem ao uso de papel e caneta para suas operações diárias.
O que se sabe sobre os responsáveis pelo ciberataque?
O ataque de ransomware contra a CDK Global foi atribuído à gangue BlackSuit.
Este grupo emergiu em abril de 2023 e está associado às gangues de ransomware Royal e Conti.
Composto por crackers russos e do Leste Europeu, o BlackSuit opera como um grupo privado de ransomware, não seguindo o modelo de ransomware as a service com afiliados.
Além disso, eles são conhecidos por usar ransomware de extorsão dupla, que combina ransomware tradicional com extortionware.
O grupo tem visado diversos setores, incluindo saúde, educação, tecnologia da informação, governo, varejo e manufatura, demonstrando sua ampla capacidade de causar impacto.
Qual o impacto do ataque de ransomware à CDK no setor automotivo?
Como mencionado anteriormente, o ataque de ransomware à CDK Global causou uma interrupção massiva no setor automotivo em grande parte da América do Norte.
A seguir, destacamos os principais impactos desse grave incidente:
- Paralisação dos sistemas da CDK: a CDK Global teve que desligar a maioria de seus sistemas de TI, telefones e aplicativos para conter o ataque e minimizar os danos;
- Disrupção nas concessionárias: o ciberataque afetou cerca de 15.000 concessionárias na América do Norte. Os sistemas de gerenciamento ficaram inacessíveis, interrompendo o rastreamento e pedidos de peças, dificultando novas vendas e ofertas de financiamento, além de comprometer a marcação de serviços e gestão de inventário. Muitas concessionárias recorreram a processos manuais, enquanto outras dispensaram funcionários;
- Impacto financeiro: o ataque causou interrupções no processamento da folha de pagamento e gerou custos adicionais para implementar processos manuais temporários. A impossibilidade de concluir transações resultou em perda de vendas para algumas concessionárias;
- Experiência do cliente: clientes enfrentaram atrasos na compra de veículos e dificuldades na marcação de serviços, prejudicando a experiência e confiança no atendimento das concessionárias;
- Segurança dos dados: acesso não autorizado a dados de clientes e negócios levantou preocupações sobre roubo de identidade e fraudes, afetando a reputação da CDK;
- Impacto na indústria: o ataque afetou também as montadoras, que não puderam rastrear vendas e inventário através de suas redes de concessionárias. Isso gerou uma desorganização nas cadeias de suprimentos e trouxe dificuldades na gestão de estoque e produção.
Como a CDK atuou para reestabelecer as operações das concessionárias que usam seu software?
Em 21 de junho, poucos dias após o ataque, a CDK Global transferiu cerca de US$ 25 milhões (387 bitcoins) para uma carteira de criptomoedas associada ao grupo BlackSuit.
A TRM Labs, empresa especializada em segurança de blockchain, rastreou a transação e confirmou que os fundos foram enviados diretamente à conta do grupo responsável.
Este pagamento representa o segundo maior resgate já registrado, ficando atrás apenas dos US$ 40 milhões pagos pela CNA Financial Corp. em 2021.
Para minimizar o impacto nas mais de 15.000 concessionárias afetadas, a CDK anunciou um plano escalonado para restabelecer todos os serviços até 4 de julho.
Além disso, os canais de atendimento ao cliente foram restaurados para oferecer suporte às concessionárias que ainda enfrentavam dificuldades.
Quais as lições que ataque de ransomware à CDK Global?
O ciberataque à CDK Global e seus impactos no setor automotivo da América do Norte oferecem valiosas lições às organizações sobre cibersegurança. Confira as principais:
- Monitoramento das supply chains: o ataque destaca os perigos que as organizações enfrentam quando um de seus fornecedores é comprometido. As empresa devem, portanto, adotar medidas rigorosas para monitorar a segurança de suas cadeias de suprimentos, mesmo diante da complexidade envolvida;
- Fortalecimento da proteção contra ransomware: é crucial que as organizações fortaleçam suas estratégias de defesa contra ransomware. Isso envolve a implementação de medidas como firewalls atualizados, softwares de detecção de ameaças e educação contínua dos funcionários sobre práticas digitais seguras;
- Priorização da proteção de dados: informações pessoais e financeiras são alvos primários para cibercriminosos. Implementar medidas robustas de proteção de dados e revisar regularmente os protocolos de segurança são fundamentais para mitigar o risco de exposição e roubo de informações;
- Implementação de planos de contingência: é evidente que a falta de orientação clara intensificou os impactos negativos do ciberataque nas concessionárias. Por isso, é fundamental que as organizações possuam planos de continuidade de negócios eficazes. Isso inclui procedimentos operacionais que detalhem processos manuais como alternativas quando os sistemas digitais estão inativos;
- Planejamento de resposta incidentes: a resposta lenta e inadequada ao ataque de ransomware agravou seus efeitos. As organizações devem investir na criação e atualização contínua de planos de resposta a incidentes robustos. Além disso, é crucial que realizem exercícios regulares, como simulações de ataques de ransomware, para treinar equipes na gestão eficaz de crises cibernéticas;
- Aprimoramento da comunicação: durante o ciberataque, a ausência de um canal único de comunicação prejudicou a resposta à crise. Manter uma comunicação clara e consistente durante incidentes cibernéticos é essencial para preservar a confiança e demonstrar transparência nas medidas adotadas.
Conclusão
O ataque de ransomware à CDK Global traz importantes lições às organizações, especialmente aquelas altamente dependentes de supply chains complexas e interconectadas.
A dificuldade de acessar sistemas críticos, como gerenciamento de estoque e processamento de vendas, destacou a vulnerabilidade das organizações a ameaças cibernéticas direcionadas.
Os impactos financeiros e operacionais foram significativos, afetando não apenas a CDK Global, mas também montadoras e redes de concessionárias.
As lições aprendidas incluem a necessidade urgente de monitorar rigorosamente a segurança das supply chains, fortalecer defesas contra ransomware e priorizar a proteção de dados.
Além disso, é essencial implementar planos de contingência robustos, desenvolver respostas eficazes a incidentes cibernéticos e melhorar a comunicação para minimizar os impactos externos.
Adotar essas práticas pode fortalecer a resiliência organizacional frente a futuros desafios cibernéticos, protegendo não apenas dados críticos, mas também a continuidade operacional e a reputação das empresas.
Quer otimizar as defesas da sua empresa contra ataques de ransomware? A Diazero Security está aqui para ajudar.
Oferecemos uma gama de serviços, incluindo simulações de ataques de ransomware e análises detalhadas para fortalecer seus protocolos de resposta a incidentes.
Entre em contato conosco e descubra como podemos proteger sua empresa contra ciberameaças emergentes.