L’empresa privada responsable del servei ha reconegut l’incident atribuït a la banda Inc Ransom.

Què passa quan un sistema d’alertes entra alhora en alerta? Això és el que hauria passat amb OnSolve CodeRED, una eina gestionada per la companyia Crisis24 que s’utilitza als Estats Units com a sistema d’alertes locals per part de les ciutats, els comtats i els estats del país.

Els ciberdelinqüents haurien obtingut dades d’usuaris del servei, com ara noms, adreces de correu electrònic, adreces físiques, números de telèfon i contrasenyes de perfils d’usuari associats a una plataforma heretada.

Les institucions governamentals locals de Massachusetts, Colorado, Texas, Florida, Carolina del Nord, Ohio, Kansas, Geòrgia, Califòrnia, Utah, Missouri, Montana, Nou Mèxic i altres estats han publicat notificacions relacionades amb l’incident, segons recull el mitjà SecurityAffairs.

Després de l’atac, el grup Inc Ransom ho va fer públic a la seva pàgina de filtracions el 22 de novembre passat. Els pirates informàtics van assegurar haver obtingut accés als sistemes d’OnSolve l’1 de novembre i haver implementat un programari de segrest de xifratge d’arxius el dia 10.

A més, els ciberdelinqüents asseguren que les negociacions amb la víctima no van arribar a bon port, després que aquesta només estigués disposada a desemborsar un rescat de 100.000 dòlars. Això va provocar que la banda publiqués alguns arxius suposadament robats durant l’atac.

«Confirmem que dades potencialment associades amb la plataforma heretada OnSolve CodeRED s’han publicat en línia després d’un atac dirigit per un grup cibercriminal organitzat. L’atac també va causar danys al voltant d’OnSolve CodeRED. L’anàlisi forense actual indica que l’incident es va contenir dins d’aquest entorn, sense contagis més enllà. Hem notificat les autoritats i la investigació continua», han explicat des de Crisi24.

A més, l’empresa afirma haver notificat a tots els clients d’OnSolve CodeRED afectats i haver desmantellat la plataforma. Paral·lelament, haurien accelerat el desplegament d’una nova plataforma, a la qual estan transferint tots els clients per a les seves necessitats d’alertes i notificacions.

A causa de l’impacte d’aquest incident de ciberseguretat i la seva percepció d’inseguretat alguns usuaris estarien intentant cancel·lar els contractes amb CodeRED.

Cal deixar clar que l’incident no va impactar al Sistema Nacional d’Alerta d’Emergències (EAS), que té funcions a nivell de tot el territori nord-americà.

Un dels grups de programari de segrest més actius

Inc Ransom és un grup de programari de segrest que va aparèixer el 2023 i ràpidament s’ha convertit en un dels actors més actius del panorama global. Per infiltrar-se a les xarxes, INC fa servir l’spear-phishing, explotació de vulnerabilitats crítiques i eines legítimes per moure’s lateralment i mantenir persistència, afectant tant entorns Windows com Linux.

Els seus atacs es concentren principalment als EUA, però també tenen presència a països com ara el Regne Unit, Canadà, Austràlia, França i Alemanya. No es limiten a grans corporacions; hospitals, universitats, empreses manufactureres i pimes han estat objectius freqüents, segons un informe de TrendMicro.

Entre les víctimes recents destaquen l’Institut Oncològic FALP a Xile i l’empresa mexicana Manesa, proveïdora de components per a Apple, Google i BMW, on es van exfiltrar centenars de milers de documents.