勒索蔚来的黑客又来了，赎金高达8位数

事情始于2024年6月19日，这是美国的联邦假日，庆祝1865年奴隶制度的结束。因为放假，所以4S店工作人员预计这一天会门庭若市，因为年中属于一年的旺季。

黛布拉·格里菲斯（Debra Griffith）在这个行业已有40多年，主要在某家4S店内办理保修索赔业务。这一天，她登录公司电脑，发现系统不工作。

格里菲斯说，之前从没发生过这类事。她当时想，“这到底是怎么回事？”

由CDK Global开发的经销商管理系统（DMS，Dealer Management System）出了问题，这家公司为北美约15000家经销商提供系统服务，是这个领域的老大，占据了50%左右的市场份额。美国绝大多数经销商都使用 CDK Global的系统来跟踪整车购买、零件采购、保修信息。

系统中断无人解释的数小时后，格里菲斯接到了同行的电话。她告诉格里菲斯刚接到CDK的电话，他们说系统被黑客攻击了，让她退出系统，并让她马上告诉老板，通知每个工作人员都立刻退出系统。

CDK于当天关闭了系统以应对黑客攻击，导致北美各地经销商的日常经营陷入停顿，因为他们无法访问库存，客人无法提车，格里菲斯也无法处理任何保修索赔。经销店的员工开始手写合同并在纸上记录换油情况。少数人不得不依靠直觉做出一些相当关键的决定，比如试图判断买家的信用是否足够好，能否让对方提车。

夏季对于汽车行业来说是一个重要时期。

7月2日美国国内公布的数据显示，全国销量增长放缓。丰田官方数据显示，6 月份销量较去年同期下降 1.2%，起亚则下降 6.5%。一些公布季度收益的公司第二季度的销售额略有增长。通用汽车的销售额增长了 0.6%。但与去年 19% 的增幅相比，这一增幅并不大。

年中是各大经销商冲半年销量目标的阶段，CDK导致经销商DMS系统中断，大部分的北美经销商从6月19日就无法正常运营，原本以为几天就能恢复，CDK官宣预计7月4日才能恢复，整整16天，对经销商来说损失巨大。

最终，美东时间7月1日下午4点左右，系统开始恢复，但也不是全面恢复。

究竟发生了什么？

有消息称，这是一个名为BlackSuit（黑西装）的经验丰富的网络犯罪组织入侵了CDK 系统，就是我们所谓的黑客攻击。

他们索要数千万美元的赎金。据外媒报道，CDK已同意支付这笔赎金，因为CDK长时间离线的后果将对汽车行业造成毁灭性打击，部分经销商也已对CDK提出了起诉。

安全专家称，在BlackSuit成为BlackSuit之前，他们曾自称为Royal（皇家）。

该组织在一年前发动了一次网络攻击，导致达拉斯市关闭了计算机系统，其中包括当地消防部门用来跟踪紧急情况的系统。当时四天时间内，达拉斯的消防员只能依靠地图上的磁铁来跟踪事件并管理他们的消防队员。

Royal的一些成员来自有史以来最臭名昭著的黑客组织之一Conti，这意味着 BlackSuit这个组织里有几位“大牛”。

Conti于2019年首次被发现，现已成为网络世界中最危险的勒索软件之一，并以其在目标系统中加密和部署的速度快而闻名。这个组织被认为是流行的Ryuk勒索软件家族的变种。据美国FBI统计，Conti针对全球发起了400多次网络攻击，其中四分之三的目标位于美国，勒索金额高达2500万美元。Conti也是当前最贪婪的勒索团伙之一。

他们是一群经验丰富的黑客和敲诈者，行事低调，做事认真，他们看起来好像不想破坏任何人，他们只是想做生意。

这次对CDK系统的入侵，BlackSuit采取了双重勒索的策略。他们关闭服务并威胁要在网上发布用户数据。

BlackSuit本质上是向任何愿意付费的人提供网络攻击服务，他们的目标一般针对公司或图书馆等。

消息人士告诉外媒，一般来说，BlackSuit要求的赎金在30万美元至500万美元之间。此次BlackSuit向CDK索要赎金达数千万美元，CDK计划支付。到目前为止，尚不清楚 BlackSuit 是代表自己还是代表其他人办事。

BlackSuit此次是如何获得CDK系统的访问权限？据外媒报道，黑客员工可能是假扮员工，诱骗客户帮助他们进入公司系统。黑客行为不一定是利用代码漏洞，他们只需假装自己是员工，然后通过这种方式获得访问权限即可。

安全分析师表示，CDK并不是第一个成为BlackSuit策略受害者的组织，最近的受害者还包括堪萨斯城警察局和乔治亚州的一个学区。

CDK是否支付了赎金

外媒最新的报道中，并未提及CDK最终是否支付了赎金，或许这是敏感话题，媒体即便知情也不便报道。

CDK是一家拥有50年历史的面向经销商的软件服务公司，他们设计的软件帮助经销商管理几乎一切日常事务，从安排预约到跟踪库存，到最终交易完成。他们在北美近乎处于垄断地位，这也使CDK获得了可观的利润。这家公司两年多前被资产管理公司Brookfield以83亿美元收购。

如果CDK这次支付了千万美元的赎金，是否会开创一个不好的先例？

关于这个话题，有人认为支付赎金只会更多地鼓励未来的黑客，但也有人支持支付赎金，他们认为如果系统迟迟不能恢复，公司产生的经济损失更大。就这个问题，美国内部并没有达成共识，这似乎已经成为网络威胁社区争论的焦点。但外媒认为，继续支付赎金从长远来看是具有破坏性的。

CDK黑客事件给过度依赖某款软件敲响了警钟。

虽然目前系统已在逐步恢复，CDK同时面临此次事件引发的诸多诉讼，部分经销商指控其未能保护客户和经销商员工，网络攻击使他们的个人信息面临风险。其竞争对手——考克斯汽车/经销商跟踪公司、雷诺兹和雷诺兹以及 Tekion 等或许有机会了。

此类事件也同时发生在中国国内。

2022年12月10日，蔚来收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币。

资料图：李斌

蔚来在收到勒索邮件后成立了专项小组进行调查与应对，并第一时间向监管部门报告此事件。

10天后，他们发布了官方声明，郑重承诺，对因本次事件给用户造成的损失承担责任。他们谴责了这一违法犯罪行为，称“坚决不会向网络犯罪低头”。

李斌在之后的NIO DAY沟通会上严肃地强调了公司的立场。

此次CDK事件，几乎导致全美经销商系统13天的瘫痪，让人看到网络世界的脆弱性以及不安全性，CDK未来必须花费精力重建经销商们对其DMS和安全性的信任，50年建立起来的垄断地位或将有所改变。