A provedora de software-como-serviço (SaaS) para concessionárias de veículos, CDK Global, sofreu um massivo ciberataque, levando a empresa a desligar seus sistemas e deixando seus clientes incapazes de operar seus negócios normalmente.
A CDK Global fornece para clientes da indústria automobilística uma plataforma SaaS que gerencia todos os aspectos das operações de uma concessionária, incluindo CRM, financiamento, folha de pagamento, suporte e serviço, inventários e operações de back office.
A empresa é utilizada por mais de 15.000 concessionárias de veículos na América do Norte e possui milhares de funcionários por todo o país.
Para usar os serviços da CDK, as concessionárias configuram uma VPN sempre ativa (always-on VPN) para os data centers do provedor SaaS, permitindo que suas aplicações locais acessem a plataforma.
Na noite passada e pela manhã, a CDK Global sofreu um ciberataque que a forçou a desligar seus sistemas de TI, telefones e aplicações para prevenir a propagação do ataque.
Brad Holton, CEO da Proton Dealership IT, uma firma de cibersegurança e serviços de TI para concessionárias de veículos, informou que o ataque fez com que a CDK tirasse seus dois data centers do ar aproximadamente às 2h da madrugada.
Funcionários de várias concessionárias também disseram que a CDK não compartilhou muitas informações, além de enviar um e-mail avisando que sofreram um incidente cibernético.
"Estamos atualmente vivenciando um incidente cibernético. Por precaução e preocupação com nossos clientes, desligamos a maioria de nossos sistemas", diz um comunicado.
No momento, estamos avaliando o impacto geral e atualmente não temos ETA.
Alguns desses funcionários também compartilharam preocupações de que atores de ameaças poderiam usar a VPN sempre ativa para invadir a rede interna das concessionárias.
Um profissional de TI de uma concessionária informou que a CDK aconselhou a desconectar a VPN sempre ativa por precaução.
Holton explicou que o software da CDK rodando nos dispositivos possui privilégios administrativos usados para implementar atualizações, o que poderia explicar por que a CDK recomenda a desconexão dos data centers.
Enquanto alguns usuários afirmaram que conseguiram fazer login com credenciais antigas que foram atualizadas durante a transição da CDK para uma plataforma moderna de single-sign-on, foi informado que a aplicação não funciona conforme o esperado.
A interrupção causou uma desordem generalizada entre as concessionárias que usam sua plataforma para rastrear e encomendar peças de veículos, conduzir novas vendas e oferecer financiamento.
Funcionários reportaram no Reddit que ficaram sem nada para fazer ou foram forçados a voltar ao uso de papel e lápis.
Algumas concessionárias estão enviando funcionários para casa pelo dia por causa das interrupções.
"Estamos quase chegando nesse ponto...sem peças, sem ROs, sem horários...apenas veículos parados sem nada para mostrá-los ou peças para consertá-los", um funcionário de concessionária postou no Reddit.
"Planilhas de Excel e post-its para qualquer peça que estamos entregando. Trabalhos grandes não estão acontecendo", outro funcionário comentou.
Embora não tenha havido um comunicado oficial da CDK, há rumores de que a empresa sofreu um ataque de ransomware que também impactou seus backups.
Quando gangues de ransomware violam redes corporativas, elas se espalham silenciosamente para outros dispositivos enquanto roubam dados corporativos.
Uma vez que todos os dados tenham sido roubados e os atores de ameaça ganhem privilégios administrativos, eles criptogram todas as máquinas na rede, deixando para trás notas de resgate com instruções para contatar os hackers.
Os dispositivos criptografados e os dados roubados são usados em esquemas de extorsão dupla, onde os atores de ameaça exigem um pagamento de resgate para fornecer um decodificador e para deletar e não publicar qualquer dado roubado.
Estas negociações podem levar semanas, e caso um resgate não seja pago, os atores de ameaça, em última instância, vazam os dados corporativos, o que geralmente inclui informações pessoais de funcionários e, potencialmente, de clientes.
Por uma abundância de cautela e preocupação com nossos clientes, desligamos a maioria de nossos sistemas e estamos trabalhando diligentemente para restaurar tudo o mais rápido possível.
Eles também afirmaram que os logins do Unify e DMS agora estão disponíveis.
No entanto, eles continuam realizando testes em todas as outras aplicações antes de colocá-las novamente online.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...