سیستم هشدار اضطراری CodeRED پس از حمله باج‌افزار INC به‌نام CodeDEAD

منطقه‌های مختلف در ایالات متحده تحت تأثیر قرار گرفتند و یکی از آن‌ها قرارداد خود را برای این محصول فسخ کرد

کانر جونز

شهرها و شهرک‌های سراسر ایالات متحده پس از یک حمله سایبری به فروشنده Crisis24، دسترسی به سیستم هشدار اضطراری CodeRED خود را از دست داده‌اند.

شهرها و شهرستان‌های مختلف اعلامیه‌های تقریباً یکسانی دربارهٔ حمله به پلتفرم CodeRED از OnSolve که اکنون تحت مالکیت Crisis24 است، صادر کرده‌اند؛ این پلتفرم به ساکنان امکان دریافت هشدارهای لحظه‌ای برای اضطراری‌هایی همچون هشدارهای آب و هوایی، گمشده شدن کودکان، تهدیدات تروریستی و غیره را می‌دهد.

در هشدار خود نسبت به این وضعیت برای ساکنان، دفتر کلانترای شهرستان داگلاس، کلرادو، این هفته اعلام کرد که قرارداد CodeRED خود را فسخ کرده و به‌طور فعال به‌دنبال جایگزینی می‌گردد.

شکل‌گیری بیانیه‌های مشابه توسط سایر مناطق نشان می‌دهد که آن‌ها قصد دارند تا با Crisis24 ادامه دهند؛ این شرکت در حال راه‌اندازی یک پلتفرم کاملاً جدید CodeRED است که پیش از وقوع حمله در دست توسعه بوده.

Crisis24 به مشتریان خود اعلام کرد که پلتفرم جدید «در محیطی جداگانه و بدون نقص قرار دارد»، که تحت «بازرسی جامع امنیتی» و «تست نفوذ و تقویت بیشتر» قرار گرفته است.

«در حالی که حساب CodeRED شهر منسوخ شده است، پرسنل در حال کار با فروشنده برای مهاجرت به یک پلتفرم هشدار اضطراری جدید است»، شهر یونیورسیتی پارک، تگزاس، گفت.

«لطفاً بدانید که حفاظت از اطلاعات شخصی شما بالاترین اولویت ماست و ما متعهد به ایمن‌سازی داده‌های شما از طریق همکاری با فروشندگانی هستیم که سیستم‌های امن و قابل‌اعتمادی ارائه می‌دهند».

در حالی که منتظر راه‌اندازی پلتفرم جدید هستند، اکثر مناطق تحت تأثیر در سراسر کشور برای اطلاع‌رسانی اضطراری از طریق شبکه‌های اجتماعی یا در صورت لزوم ارتباط درب به درب، به‌کارگیری همان هشدارهای اضطراری را انتخاب کرده‌اند.

به ساکنان آن‌ها نیز توصیه شده است تا رمزهای عبور CodeRED خود را تغییر دهند. بر اساس ارتباطات Crisis24 با مشتریان، داده‌های سرقت‌شده توسط گروه جنایتکار شامل نام‌ها، آدرس‌ها، ایمیل‌ها، شماره‌های تلفن و رمزهای عبوری است که برای ایجاد حساب‌های CodeRED استفاده می‌شده‌اند.

شهر اوفالون، میسوری، گفت: «همهٔ دریافت‌کنندگان هشدارهای CodeRED پروفایل کامل ایجاد نکرده‌اند؛ اما اگر این گزینه انتخاب شده باشد و همان رمز عبور برای حساب‌های شخصی یا تجاری دیگر نیز استفاده شده باشد، به شدت توصیه می‌شود که آن رمزها تغییر یابند.»

بر اساس اطلاعیه‌های آن‌ها، Crisis24 به مشتریان خود یک پرسش‌پاسخ (FAQ) ارائه کرد که اکثر آن‌ها به‌صورت کامل در انتهای اعلامیه‌های خود منتشر کرده‌اند.

برگهٔ اطلاعات اعلام می‌کند که این حمله محدود به CodeRED بوده و سایر سیستم‌های مشتریان نباید به‌عنوان مخدوش‌شده در نظر گرفته شوند.

در بخش «چرا این اتفاق افتاد؟» پرسش‌پاسخ، Crisis24 گفت: «متأسفانه، در اخیراً ریسک‌ها و نفوذهای سایبری در بسیاری از سازمان‌ها رو به افزایش بوده‌اند.»

زمانی که شرکت به مشتریان خود دربارهٔ حمله اطلاع داد، همچنین اعلام کرد که نشانه‌ای از انتشار آنلاین داده‌های سرقت‌شده وجود ندارد، اما هشدار داد که این وضعیت ممکن است تغییر کند.

گروه باج‌افزاری INC مسئولیت این حمله را پذیرفته و بخش کوچکی از داده‌های سرقت‌شده را در وبلاگ تاریک خود منتشر کرده است.

به‌عنوان بخشی از کمپین فشار بر علیه Crisis24 برای پرداخت گروگان، به‌نظر می‌رسد INC بخشی از تاریخچه مذاکرات بین خود و فروشنده را افشا کرده است.

اگر صحت داشته باشد، لاگ‌های گفت‌و‌گو نشان می‌دهند که درخواست اولیهٔ گروگان‌گیری INC در ابتدا 950,000 دلار بوده، اما سپس به 450,000 دلار کاهش یافته است. لاگ‌ها همچنین نشان می‌دهند که Crisis24 ابتدا مبلغ 100,000 دلاری پیشنهاد کرده و سپس آن را به 150,000 دلار افزایش داده که INC آن را رد کرده است.

INC همچنین ادعا کرد که شعبهٔ وابستهٔ خود در تاریخ ۱ نوامبر به شبکهٔ Crisis24 دسترسی پیدا کرده و در تاریخ ۱۰ نوامبر فایل‌های آن را رمزنگاری کرده است.

به‌جای پرداخت گروگان، این گروه سایبری اعلام کرد که به‌جای پرداخت، داده‌های سرقت‌شده را به فروش می‌رساند. بخشی از داده‌ها پیشاپیش منتشر شده‌اند تا خلافکاران ثابت کنند که این اطلاعات را در اختیار دارند.

«ما به‌طور کامل متعهد به حمایت از مشتریانمان و اطمینان از برآورده شدن نیازهای پایه‌ای هشداردهی و اطلاع‌رسانی عمومی آن‌ها بدون وقفه هستیم»، Crisis24 به The Register گفت. ®