Láttunk már többször is hatalmas, Guiness rekordok évkönyvébe illő váltságdíj fizetéseket ransomware történeteknél. Például a CWT Business Travel Management Company 4.5 millió dolláros összeget szurkolt le (akkori árfolyamon nagyjából 1.3 milliárd forint) a Netwalker bandának 2 TB ellopott és titkosított céges adatért, míg a UnitedHealth Group egészségügyi konszern 22 millió dolláros (7.8 mrd HUF) váltságdíjat fizetett ki az orosz Blackcat/ALPHV csoportnak.
A mostani eset az amerikai CDK Global nevű, autókereskedések szolgáltatásait ellátó céget sújtotta. Az Egyesült Államokban csaknem 15 ezer autókereskedésben futnak ezek a szoftverek, ám június közepén zsarolóvírus támadás miatt egy több hetes leállási időszak következett be, ami rengeteg autókereskedési és szervizközpont helyszínen bénította meg a hétköznapi normál működést.
A kiberincidens miatt az egységek az átmeneti időszakban országszerte mindenfajta informatikai támogatás nélkül tudtak csak dolgozni, a CDK pedig elnézést kért az okozott kellemetlenségekért.
A támadás időzítése mindenesetre alaposan megtervezettnek tűnik, hiszen június 19. munkaszüneti nap volt. A hosszas offline állapot miatt, mivel a rendszerek egyáltalán nem voltak elérhetők, a márkakereskedések egy része nem tudott autókat eladni, járműveket regisztrálni, illetve az autójavító műhelyek sem tudták a szükséges alkatrészeket megrendelni. Emiatt papíralapú, telefonálós módszerre kellett visszaállniuk.
Miután a múlt héten visszaállították a szolgáltatások jelentős részét, hivatalos bejelentés híján a CNN információkból lehet kikövetkeztetni, hogy a háttérben két nappal az eredeti támadás után 25 millió dolláros váltságdíjat fizettek ki a gyaníthatóan orosz kötődésű BlackSuit csoport részére a helyreállító kulcsokért.
A TRM Labs kriptográfiai szakértői cég állítása szerint egy 387 bitcoin értékű tranzakció egy olyan számlára került, amelyet állítólag a BlackSuit néven ismert zsarolóprogramokat telepítő bűnözők birtokolnak. Az információk szerint az átutalás nem közvetlenül a CDK-tól származik, hanem egy kiberváltságdíj követelési tárgyalásokra szakosodott közvetítő cégtől.
Bár a doxing, azaz a bizalmas adatok kiszivárogtatásával való fenyegetés más állandó része a támadásoknak, manapság a legtöbb zsarolóvírus-áldozat már nem fizet váltságdíjat, például tavaly a negyedik negyedévben mindössze 29% fizetett. Emellett a hatóságok sem javasolják a fizetést, hiszen ezzel erősítik a bűnözők effajta ténykedését, illetve újabb támadásokat is elszenvedhetnek.
A bűnözők ezzel az akcióval viszonylag jól jártak, hiszen többet kerestek, mint a Change Healthcare támadói. Azonban az is érdekes adat, hogy az autókereskedőket ért pénzügyi kár a teljes leállás három hetében több mint 944 millió dollár, vagyis a váltságdíj 37-szerese. És ez az adat még nem tartalmazza az olyan nehezen számszerűsíthető tényezőket, mint a jó-hírnévhez csorbulása miatti kár, a felháborodott ügyfelek és a leállás utólagos jogi következményei.
A TheRegister cikke szerint azonban azóta sem működik az ügyfélkapcsolati (CRM), illetve a központi dokumentum kezelési (DMS) rendszer, ezek még mindig offline vannak. A CDK továbbra sem kívánt nyilatkozni.
