سیستم هشدار اضطراری CodeRED به حالت CodeDEAD پس از حمله باج‌افزاری گروه INC

مناطق مختلف در ایالات متحده تحت تأثیر قرار گرفته‌اند و یکی از آن‌ها قرارداد خود برای این محصول را فسخ کرد

شهرها و شهرک‌های ایالات متحده پس از حمله سایبری به فروشنده Crisis24، دسترسی به سیستم هشدار اضطراری CodeRED خود را از دست داده‌اند.

شهرداری‌های مختلف اطلاعیه‌های تقریباً یکسانی دربارهٔ حمله به پلتفرم OnSolve CodeRED، که هم‌اکنون تحت مالکیت Crisis24 است، منتشر کرده‌اند؛ این پلتفرم به ساکنان امکان دریافت هشدارهای لحظه‌ای برای موارد اضطراری همچون هشدارهای آب و هوایی، کودکان مفقودی، تهدیدات تروریستی و سایر موارد را می‌دهد.

در هشدار خود دربارهٔ این وضعیت به مردم محلی، دفتر کلانتری شهرستان داگلاس، کلرادو، این هفته اعلام کرد که قرارداد CodeRED خود را خاتمه داده و به‌طور فعال به‌دنبال یک جایگزین می‌گردد.

نحوه بیان اطلاعیه‌های مشابه از سوی سایر مناطق نشان می‌دهد که آن‌ها همچنان با Crisis24 می‌مانند، چرا که این شرکت در حال کار بر روی راه‌اندازی یک پلتفرم جدید CodeRED است که پیش از حمله در حال توسعه بود.

Crisis24 به مشتریان اطلاع داد که پلتفرم جدید «در یک محیط جداگانه و غیر فاسد قرار دارد»، که تحت «بررسی جامع امنیتی» و «آزمون‌های نفوذ و تقویت بیشتر» قرار گرفته است.

«در حالی که حساب CodeRED شهر غیرفعال شده است، کارکنان در حال همکاری با فروشنده برای انتقال به یک پلتفرم هشدار اضطراری جدید هستند»، شهر یونیورسیتی پارک، تگزاس اعلام کرد.

«لطفاً بدانید که حفاظت از اطلاعات شخصی شما بالاترین اولویت ماست و ما متعهد به حفظ داده‌های شما هستیم، با همکاری با فروشندگانی که سامانه‌های ایمن و قابل اعتماد ارائه می‌دهند.»

در حالی که منتظر راه‌اندازی پلتفرم جدید هستند، اکثر مناطق تحت‌تأثیر در سرتاسر کشور به‌کارگیری اطلاع‌رسانی‌های اضطراری از طریق شبکه‌های اجتماعی یا در صورت لزوم ارتباط درب به درب را ادامه داده‌اند.

به ساکنان آن‌ها نیز توصیه شده است که رمزهای عبور CodeRED خود را تغییر دهند. بر اساس ارتباطات Crisis24 با مشتریان، از داده‌های دزدیده‌شده توسط گروه جنایتکار شامل نام‌ها، آدرس‌ها، ایمیل‌ها، شماره‌های تلفن و رمزهای عبور استفاده‌شده برای ایجاد حساب‌های CodeRED می‌باشد.

شهر O’Fallon، میسوری اعلام کرد: «همه دریافت‌کنندگان هشدارهای CodeRED یک پروفایل کامل نساختند؛ با این حال، اگر این کار انجام شده و همان رمز عبور برای حساب‌های شخصی یا تجاری دیگر استفاده شده باشد، تغییر آن رمزها به‌ شدت توصیه می‌شود.»

بر اساس اطلاعیه‌های آن‌ها، Crisis24 یک پرسش‌وپاسخ (FAQ) به مشتریان خود ارائه کرده است که اکثر آن‌ها به‌صورت کلمه به کلمه در انتهای هشدارهای خود منتشر کرده‌اند.

برگه‌اطلاعاتی بیان می‌کند که این حمله محدود به CodeRED است و سایر سامانه‌های مشتریان نباید به‌عنوان در خطر در نظر گرفته شوند.

در بخش «چرا این اتفاق افتاد؟» از پرسش‌وپاسخ، Crisis24 گفت: «متأسفانه، در ماه‌های اخیر خطرات و نفوذهای امنیتی در بسیاری از سازمان‌ها افزایشی داشته است.»

زمانی که شرکت مشتریان را از این حمله آگاه کرد، همچنین اعلام کرد که هنوز نشانه‌ای مبنی بر افشای داده‌های سرقت شده در فضای آنلاین وجود ندارد، اما هشدار داد که این وضعیت ممکن است در آینده تغییر کند.

گروه باج‌افزاری INC مسئولیت این حمله را بر عهده گرفته و بخشی ادعایی از داده‌های سرقت‌شده را در وبلاگ تاریک خود منتشر کرده است.

به‌عنوان بخشی از کمپین فشار بر علیه Crisis24 برای پرداخت باج، به‌نظر می‌رسد INC بخشی از تاریخچه مذاکرات بین خود و فروشنده را فاش کرده است.

اگر به‌درست بودن این اطلاعات اعتبار بدهیم، لاگ‌های گفت‌و‌گو نشان می‌دهند که خواست اولیه باج INC در ابتدا ۹۵۰٬۰۰۰ دلار بود که سپس به ۴۵۰٬۰۰۰ دلار کاهش یافت. این لاگ‌ها همچنین نشان می‌دهند که Crisis24 پیشنهاد اولیه ۱۰۰٬۰۰۰ دلار را داد و سپس آن را به ۱۵۰٬۰۰۰ دلار افزایش داد که توسط INC رد شد.

INC همچنین ادعا کرد که شریک آن در تاریخ ۱ نوامبر به شبکه Crisis24 دسترسی پیدا کرده و در تاریخ ۱۰ نوامبر فایل‌های آن را رمزنگاری کرده است.

به‌جای پرداخت باج، این گروه جرایم سایبری اعلام کرد که به‌جای آن داده‌های سرقت‌شده را می‌فروشند. بخشی از داده‌ها قبلاً منتشر شده‌اند تا جرایم ثابت کنند که این اطلاعات را در دست دارند.

«ما همچنان به‌صورت کامل متعهد به حمایت از مشتریان خود هستیم و اطمینان می‌دهیم که نیازهای اساسی آن‌ها در زمینه هشداردهی و اطلاع‌رسانی عمومی بدون وقفه برآورده می‌شود»، Crisis24 به The Register گفت. ®