Skip to content
CBCyber Breaches
Recherche
RançongicielRançon payée

Rançongiciel BlackSuit contre CDK Global (2024)

Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.

Victime
CDK Global
Perte
$1.00B
SecteurTechnologieCommerce
PaysÉtats-UnisCanada
GroupeBlackSuit

Le 18 juin 2024, le géant du logiciel de gestion de concessionnaires CDK Global a été frappé par le rançongiciel BlackSuit — et lorsque la plateforme de CDK est tombée hors ligne, environ 15 000 concessionnaires automobiles nord-américains ont perdu l'accès aux systèmes qu'ils utilisent pour suivre l'inventaire, conduire les ventes, traiter les financements et gérer les ateliers. Le résultat fut la plus grande panne de la distribution automobile de l'histoire des États-Unis.

Ce qui s'est passé

CDK exploite le système de gestion des concessionnaires dont dépendent les concessionnaires nord-américains de taille moyenne et grande pour presque tous leurs flux numériques. Lorsque le chiffrement de BlackSuit s'est déclenché, les concessionnaires sont revenus au papier et au stylo — contrats manuscrits, inventaires manuels, appels entre concessionnaires pour coordonner les financements.

Une seconde attaque a frappé le 19 juin, alors même que CDK commençait à relever les systèmes — un double coup inhabituellement agressif de BlackSuit qui a prolongé l'interruption. CDK a entamé la restauration avec les plus petits groupes de concessionnaires le 22 juin et tablait sur un rétablissement complet pour le 4 juillet.

Les attaquants ont fait grimper leur demande de 10 millions de dollars à plus de 50 millions de dollars. Plusieurs sources ont déclaré à CNN à la mi-juillet que CDK avait finalement versé environ 25 millions de dollars de rançon.

BlackSuit est une émanation du rançongiciel Royal, lui-même un changement de marque du groupe plus ancien Conti — une lignée qui opère en continu depuis le début des années 2020 sous une série de noms.

Impact

  • ~15 000 concessionnaires nord-américains hors ligne pendant jusqu'à deux semaines.
  • Pertes cumulées estimées des concessionnaires : plus d'un milliard de dollars (Anderson Economic Group).
  • Rançon déclarée de 25 millions de dollars versée par CDK.
  • L'un des cas les plus clairs à ce jour de la concrétisation du risque de concentration SaaS dans un seul segment de la distribution.

Pourquoi cela compte

Lorsqu'une plateforme de gestion des concessionnaires avec une telle part de marché tombe hors ligne, tout le segment tombe avec elle. CDK Global est, après Change Healthcare, la nouvelle référence du risque de concentration SaaS vertical — et le rappel que la posture cybersécurité d'un seul éditeur logiciel peut déterminer si des milliers de détaillants indépendants peuvent réaliser leurs transactions.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
1.00B
USD · 1 000 000 000 $US
Rançon demandée
$50.0M
Rançon payée
$25.0M
  • Rançon payée$25.0M
  • Perte d’exploitation$1.00B

Chronologie

  1. Les opérateurs du rançongiciel BlackSuit déclenchent leur charge contre la plateforme de gestion des concessionnaires de CDK Global. Environ 15 000 concessionnaires nord-américains perdent l'accès à leurs systèmes d'inventaire, de ventes, de financement et d'atelier.

  2. Une seconde vague d'attaque frappe CDK juste au moment où la reprise commence.

  3. CDK entame une restauration systématique en commençant par les plus petits groupes de concessionnaires.

  4. Les premiers concessionnaires reviennent en ligne ; une restauration complète est visée pour le 4 juillet.

  5. Plusieurs sources rapportent à CNN que CDK a versé environ 25 millions de dollars de rançon (négociée depuis une demande initiale de 50 millions).

  6. Anderson Economic Group estime que les pertes cumulées des concessionnaires ont dépassé un milliard de dollars.

Sources

  1. edition.cnn.comhttps://edition.cnn.com/2024/07/11/business/cdk-hack-ransom-tweny-five-million-dollars
  2. blackfog.comhttps://www.blackfog.com/cdk-global-ransomware-attack/
  3. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/cdk-cyberattack-takes-down-car-dealerships-software/
  4. techtarget.comhttps://www.techtarget.com/whatis/feature/The-CDK-Global-outage-Explaining-how-it-happened

Incidents liés

RançongicielRançon payée

Rançongiciel BlackSuit contre KADOKAWA / Niconico (2024)

Un accès obtenu par hameçonnage a permis à BlackSuit (lié à la Russie) de chiffrer l'infrastructure de KADOKAWA et la plateforme de partage vidéo Niconico, mettant les services hors ligne pendant deux mois. KADOKAWA a versé environ 2,9 M$ en cryptomonnaies — et BlackSuit a tout de même divulgué les 1,5 To dérobés.

Victim
KADOKAWA Corporation
Loss
$2.9M
Records
254.2K
RançongicielContenu

Rançongiciel Cactus contre Schneider Electric Sustainability Business (2024)

Les opérateurs du rançongiciel Cactus ont frappé la division Sustainability Business de Schneider Electric, mettant hors ligne la plateforme de conseil Resource Advisor et exfiltrant environ 1,5 To de données — dont des scans de passeports et des NDA signés de clients tels que Hilton, PepsiCo et Walmart.

Victim
Schneider Electric — division Sustainability Business
RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)
Bourrage d’identifiantsContenu

Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)

Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.

Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
Records
560.0M