Ataque de ransomware à supply chain: lições do caso CDK Global

Entenda o ataque de ransomware à CDK Global e conheça suas lições para as empresas dependentes de supply chains complexas e interconectadas.

08 de Julho 2024 | 12:00

Aprox. 12 minutos de leitura.


O ataque de ransomware ao provedor de software CDK Global, que impactou mais de 15.000 concessionárias na América do Norte, oferece lições que transcendem o setor automotivo. 

Este grave incidente serve como um alerta para todas as indústrias que dependem de cadeias de suprimentos complexas e interconectadas.

Neste artigo, exploramos em detalhes o ataque de ransomware à CDK e seus impactos significativos na supply chain automotiva norte-americana. 

Além disso, discutimos as lições aprendidas que podem beneficiar empresas de diversos setores, fornecendo insights valiosos sobre como prevenir e mitigar os efeitos de ciberameaças emergentes. Boa leitura!

Como ocorreu o ataque de ransomware à CDK Global?

Em junho de 2024, a CDK Global, fornecedora de software para concessionárias de automóveis, sofreu dois ataques consecutivos de ransomware

Esses ataques atingiram um dos principais elos da supply chain automotiva no continente norte-americano, afetando mais de 15.000 concessionárias na região.

No primeiro ataque, a CDK foi forçada a desligar seus dois data centers. Embora a empresa não tenha divulgado muitos detalhes, sabe-se que o ataque estava relacionado ao VPN sempre ativo da empresa. 

As concessionárias utilizam esta conexão VPN especial para acessar a plataforma da CDK, permitindo que o software instalado se atualize automaticamente. 

Devido a isso, a CDK recomendou a desconexão de seus data centers durante o incidente.

Enquanto ainda se recuperava do primeiro ataque, a CDK foi novamente atacada em 19 de junho, resultando em um novo desligamento dos sistemas. 

Durante a restauração de alguns serviços, outro incidente cibernético ocorreu, levando a empresa a desligar proativamente a maioria de seus sistemas.

Esses ciberataques interromperam atividades críticas, como serviços de financiamento, inventário, back office e folha de pagamento, causando grandes transtornos às operações das concessionárias. 

A situação forçou as revendas de automóveis dos EUA e Canadá a recorrerem ao uso de papel e caneta para suas operações diárias.

O que se sabe sobre os responsáveis pelo ciberataque?

O ataque de ransomware contra a CDK Global foi atribuído à gangue BlackSuit. 

Este grupo emergiu em abril de 2023 e está associado às gangues de ransomware Royal e Conti. 

Composto por crackers russos e do Leste Europeu, o BlackSuit opera como um grupo privado de ransomware, não seguindo o modelo de ransomware as a service com afiliados. 

Além disso, eles são conhecidos por usar ransomware de extorsão dupla, que combina ransomware tradicional com extortionware

O grupo tem visado diversos setores, incluindo saúde, educação, tecnologia da informação, governo, varejo e manufatura, demonstrando sua ampla capacidade de causar impacto.

Qual o impacto do ataque de ransomware à CDK no setor automotivo?

Como mencionado anteriormente, o ataque de ransomware à CDK Global causou uma interrupção massiva no setor automotivo em grande parte da América do Norte.

A seguir, destacamos os principais impactos desse grave incidente:

  • Paralisação dos sistemas da CDK: a CDK Global teve que desligar a maioria de seus sistemas de TI, telefones e aplicativos para conter o ataque e minimizar os danos;
  • Disrupção nas concessionárias: o ciberataque afetou cerca de 15.000 concessionárias na América do Norte. Os sistemas de gerenciamento ficaram inacessíveis, interrompendo o rastreamento e pedidos de peças, dificultando novas vendas e ofertas de financiamento, além de comprometer a marcação de serviços e gestão de inventário. Muitas concessionárias recorreram a processos manuais, enquanto outras dispensaram funcionários;
  • Impacto financeiro: o ataque causou interrupções no processamento da folha de pagamento e gerou custos adicionais para implementar processos manuais temporários. A impossibilidade de concluir transações resultou em perda de vendas para algumas concessionárias;
  • Experiência do cliente: clientes enfrentaram atrasos na compra de veículos e dificuldades na marcação de serviços, prejudicando a experiência e confiança no atendimento das concessionárias;
  • Segurança dos dados: acesso não autorizado a dados de clientes e negócios levantou preocupações sobre roubo de identidade e fraudes, afetando a reputação da CDK;
  • Impacto na indústria: o ataque afetou também as montadoras, que não puderam rastrear vendas e inventário através de suas redes de concessionárias. Isso gerou uma desorganização nas cadeias de suprimentos e trouxe dificuldades na gestão de estoque e produção.

Como a CDK atuou para reestabelecer as operações das concessionárias que usam seu software?

Em 21 de junho, poucos dias após o ataque, a CDK Global transferiu cerca de US$ 25 milhões (387 bitcoins) para uma carteira de criptomoedas associada ao grupo BlackSuit. 

A TRM Labs, empresa especializada em segurança de blockchain, rastreou a transação e confirmou que os fundos foram enviados diretamente à conta do grupo responsável. 

Este pagamento representa o segundo maior resgate já registrado, ficando atrás apenas dos US$ 40 milhões pagos pela CNA Financial Corp. em 2021.

Para minimizar o impacto nas mais de 15.000 concessionárias afetadas, a CDK anunciou um plano escalonado para restabelecer todos os serviços até 4 de julho. 

Além disso, os canais de atendimento ao cliente foram restaurados para oferecer suporte às concessionárias que ainda enfrentavam dificuldades.

Quais as lições que ataque de ransomware à CDK Global?

O ciberataque à CDK Global e seus impactos no setor automotivo da América do Norte oferecem valiosas lições às organizações sobre cibersegurança. Confira as principais:

  • Monitoramento das supply chains: o ataque destaca os perigos que as organizações enfrentam quando um de seus fornecedores é comprometido. As empresa devem, portanto, adotar medidas rigorosas para monitorar a segurança de suas cadeias de suprimentos, mesmo diante da complexidade envolvida;
  • Fortalecimento da proteção contra ransomware: é crucial que as organizações fortaleçam suas estratégias de defesa contra ransomware. Isso envolve a implementação de medidas como firewalls atualizados, softwares de detecção de ameaças e educação contínua dos funcionários sobre práticas digitais seguras;
  • Priorização da proteção de dados: informações pessoais e financeiras são alvos primários para cibercriminosos. Implementar medidas robustas de proteção de dados e revisar regularmente os protocolos de segurança são fundamentais para mitigar o risco de exposição e roubo de informações;
  • Implementação de planos de contingência: é evidente que a falta de orientação clara intensificou os impactos negativos do ciberataque nas concessionárias. Por isso, é fundamental que as organizações possuam planos de continuidade de negócios eficazes. Isso inclui procedimentos operacionais que detalhem processos manuais como alternativas quando os sistemas digitais estão inativos;
  • Planejamento de resposta incidentes: a resposta lenta e inadequada ao ataque de ransomware agravou seus efeitos. As organizações devem investir na criação e atualização contínua de planos de resposta a incidentes robustos. Além disso, é crucial que realizem exercícios regulares, como simulações de ataques de ransomware, para treinar equipes na gestão eficaz de crises cibernéticas;
  • Aprimoramento da comunicação: durante o ciberataque, a ausência de um canal único de comunicação prejudicou a resposta à crise. Manter uma comunicação clara e consistente durante incidentes cibernéticos é essencial para preservar a confiança e demonstrar transparência nas medidas adotadas.

Conclusão

O ataque de ransomware à CDK Global traz importantes lições às organizações, especialmente aquelas altamente dependentes de supply chains complexas e interconectadas.

A dificuldade de acessar sistemas críticos, como gerenciamento de estoque e processamento de vendas, destacou a vulnerabilidade das organizações a ameaças cibernéticas direcionadas. 

Os impactos financeiros e operacionais foram significativos, afetando não apenas a CDK Global, mas também montadoras e redes de concessionárias. 

As lições aprendidas incluem a necessidade urgente de monitorar rigorosamente a segurança das supply chains, fortalecer defesas contra ransomware e priorizar a proteção de dados. 

Além disso, é essencial implementar planos de contingência robustos, desenvolver respostas eficazes a incidentes cibernéticos e melhorar a comunicação para minimizar os impactos externos. 

Adotar essas práticas pode fortalecer a resiliência organizacional frente a futuros desafios cibernéticos, protegendo não apenas dados críticos, mas também a continuidade operacional e a reputação das empresas.

Quer otimizar as defesas da sua empresa contra ataques de ransomware? A Diazero Security está aqui para ajudar.

Oferecemos uma gama de serviços, incluindo simulações de ataques de ransomware e análises detalhadas para fortalecer seus protocolos de resposta a incidentes.

Entre em contato conosco e descubra como podemos proteger sua empresa contra ciberameaças emergentes.


CONTEÚDOS RELACIONADOS

Acessar
19 de Janeiro 2024 Segurança Segurança

Como o Google Cloud Platform garante a segurança na nuvem?

Saiba como o Google Cloud Platform oferece recursos para desenvolver e gerenciar aplicativos na nuvem com flexibilidade e segurança.

Acessar
22 de Dezembro 2023 Segurança Segurança

Backups de rotina: uma estratégia essencial para a segurança empresarial

Descubra como backups de rotina protegem negócios contra perdas de dados, garantindo continuidade e confiança no mercado.