L’attacco informatico che ha colpito CDK Global ha avuto conseguenze gravi per il settore delle concessionarie automobilistiche USA. La piattaforma di CDK Global, un fornitore di servizi software-as-a-service (SaaS), è utilizzata da oltre 15mila concessionarie auto in Nord America e Canada, per gestire operazioni centrali come: vendite, finanziamenti, inventario, assistenza e funzioni di back-office. L’attacco informatico del 19 giugno ha costretto l’azienda a chiudere i propri sistemi IT e data center, causando interruzioni diffuse. Le concessionarie sono state costrette a tornare a metodi manuali, come l’uso di carta e penna, e gli acquirenti non hanno potuto acquistare auto o ricevere assistenza per i veicoli già acquistati.
Come è avvenuto l’attacco
L’attacco è iniziato il 19 giugno obbligando CDK Global ad arrestare tutti i suoi sistemi, per indagare sull’incidente informatico e passare poi alla fase di ripristino. Questo primo evento ha avuto però come conseguenza immediata l’arresto delle operazioni in migliaia di concessionarie. La piattaforma CDK è un servizio software SaaS per la gestione delle operazioni quotidiane delle concessionarie, compresa la programmazione degli appuntamenti, la gestione dei registri delle vendite e la comunicazione con i clienti. Con i sistemi offline, molte concessionarie hanno dovuto tornare a processi manuali, rallentando così le proprie operazioni.
Impatti sulle attività delle concessionarie
Le concessionarie sono state quindi costrette a utilizzare penna e carta per gestire le vendite e gli appuntamenti di assistenza, allungando i tempi di attesa per i clienti. Secondo Scott Campbell, un venditore presso Capital City Buick GMC in Vermont, i tempi di attesa per l’acquisto di un’auto sono raddoppiati o triplicati. Inoltre, i clienti che cercavano di registrare nuovi veicoli hanno dovuto recarsi di persona agli uffici del Registro dei veicoli a motore (RMV), con ulteriori ritardi e disagi.
Michael Deveney, proprietario di Midway Automotive, ha riferito che dopo lo stop dei sistemi ha dovuto chiamare i clienti per registrare le loro auto in persona agli uffici locali del RMV. Tuttavia, entro pochi giorni, anche gli uffici RMV hanno iniziato a rifiutare le registrazioni senza appuntamento a causa del sovraffollamento.
I tentativi di ripartenza di CDK
CDK ha iniziato a ripristinare gradualmente i suoi sistemi il 27 giugno, riuscendo a riportare online un piccolo gruppo di concessionarie. Tuttavia, il ripristino completo ha richiesto più tempo (si è completato solo a inizio luglio) per cui l’azienda ha avvisato le concessionarie di preparare piani alternativi per realizzare i report finanziari di fine mese.
Il ritardo è stato dovuto anche al fatto che, mentre tentava di ripristinare il servizio, CDK ha subito un secondo attacco cyber, che ha portato alla disattivazione di tutti i sistemi IT e di accesso per contenere la violazione. Successivamente, CDK ha anche avvisato le concessionarie di fare attenzione, perché alcuni malintenzionati si spacciavano per affiliati o agenti CDK, per ottenere accesso non autorizzato ai loro sistemi.
Da chi è partito l’attacco?
L’attacco è stato attribuito a un gruppo di hacker noto come BlackSuit, che avrebbe richiesto un riscatto di decine di milioni di dollari. Secondo gli esperti, BlackSuit sarebbe un rebrand del gruppo ransomware Royal (diretto successore della gang di cyber criminali Conti, tristemente nota in Italia). Dopo aver attaccato nel giugno 2023 la città di Dallas, in Texas, Royal ha iniziato a operare sotto il nome BlackSuit. Non è noto se CDK ha pagato o meno il riscatto. Secondo alcuni, avrebbe negoziato con il gruppo ransomware per ottenere un decryptor e prevenire la divulgazione online dei dati rubati.
Impatti economici complessivi sul settore
L’interruzione ha avuto un impatto economico devastante sulle concessionarie. Secondo l’Anderson Economic Group, a un blackout informatico di tre settimane (come poi è avvenuto) corrispondono perdite per le concessionarie superiori ai 940 milioni di dollari. Questa stima dell’impatto economico complessivo non include i costi legali o eventuali riscatti da pagare. Le concessionarie hanno dovuto affrontare un accumulo di pratiche burocratiche che richiederà mesi, se non anni, per essere smaltito completamente una volta, anche con i sistemi ripristinati.
Anche i clienti finali hanno avuto conseguenze economiche, perché alcune concessionarie non potevano applicare gli incentivi di fabbrica senza il software di CDK, facendo quindi perdere ai clienti questa opportunità di risparmio.
Cosa insegna il caso di questo attacco al fornitore IT
L’attacco a CDK Global ha messo in luce la vulnerabilità del settore delle concessionarie automobilistiche agli attacchi cyber. La crescente dipendenza da sistemi software interconnessi, sebbene utile per le attività quotidiane, rende il settore molto suscettibile a interruzioni su larga scala. È un esempio lampante di quanto sia importante assicurarsi della sicurezza di un fornitore IT da cui si dipende fortemente per la continuità operativa. Eric Noonan, CEO di CyberSheath, ha spiegato che colpire un sistema centralizzato come quello di CDK permette agli hacker di mettere in crisi un numero elevato di concessionarie con un singolo attacco.
John Dwyer, direttore della ricerca sulla sicurezza presso Binary Defense, ha aggiunto che attaccare fornitori di servizi cruciali come CDK consente ai cyber-criminali di ottenere maggiori somme di denaro come riscatto. In conclusione, l’attacco a CDK Global è un grave monito per l’industria automobilistica (e non solo) sulla necessità di migliorare la resilienza e la sicurezza informatica. Le concessionarie devono considerare strategie per diversificare i propri fornitori di software e investire in misure di sicurezza più robuste per proteggere le loro operazioni da future minacce.