Крупный инцидент кибербезопасности затронул платформу OnSolve CodeRED, которая используется государственными и муниципальными органами США для рассылки экстренных уведомлений населению. За атаку взяла на себя ответственность вымогательская группировка INC, работающая по модели RaaS (Ransomware-as-a-Service). В результате были нарушены процессы оповещения о чрезвычайных ситуациях и скомпрометированы персональные данные пользователей сервиса.
Что такое CodeRED и почему его взлом настолько опасен
Платформа CodeRED, управляемая компанией Crisis24, применяется органами штатов и округов, полицией, пожарными и другими экстренными службами. Через нее рассылаются уведомления о наводнениях, пожарах, утечках газа, стихийных бедствиях, поиске пропавших людей и иных угрозах для жизни и здоровья граждан.
Фактически CodeRED является частью критически важной инфраструктуры оповещения. Любой серьезный сбой в ее работе означает риск того, что жители вовремя не получат жизненно важные сообщения. Именно поэтому атаки на подобные системы рассматриваются экспертами как особо чувствительные инциденты, даже если речь идет «всего лишь» о киберпреступниках, а не о кибершпионаже или кибертерроризме.
Как прошла атака INC ransomware на OnSolve CodeRED
По данным, опубликованным самими злоумышленниками и подтвержденным заявлением Crisis24 для СМИ, хакеры проникли в инфраструктуру OnSolve 1 ноября 2025 года, а 10 ноября зашифровали файлы, запустив вымогательскую атаку. Этот классический сценарий ransomware подразумевает сначала скрытую фазу проникновения и разведки, а уже затем — массовое шифрование данных и вывод сервисов из строя.
Группировка INC заявляет, что компания была готова выплатить выкуп в размере 100 000 долларов США, однако переговоры сорвались. После этого злоумышленники не только не предоставили ключи расшифровки, но и выставили похищенные данные на продажу в даркнете, сопровождая публикации скриншотами с учетными записями и паролями в открытом виде.
Масштаб утечки данных и затронутая инфраструктура
По словам представителей Crisis24, атака затронула устаревшую версию платформы CodeRED. Компания подчеркивает, что инцидент не распространился на другие ее системы. Тем не менее, именно эта «старшая» версия активно использовалась целым рядом государственных и муниципальных клиентов по всей стране.
В результате компрометации злоумышленники получили доступ к широкому набору персональных данных пользователей CodeRED: имена, почтовые адреса, e-mail, номера телефонов и пароли от учетных записей. Наличие паролей особенно критично, поскольку многие пользователи до сих пор практикуют повторное использование одних и тех же комбинаций на разных сайтах и сервисах, что существенно расширяет возможные последствия утечки.
Из-за нанесенного ущерба инфраструктуре Crisis24 пришлось полностью остановить работу скомпрометированной версии CodeRED и развернуть сервис заново, используя резервные копии на базе новой платформы CodeRED by Crisis24. Однако бэкапы оказались датированы 31 марта 2025 года, поэтому часть записей и учетных записей пользователей не попала в восстановленную систему, что дополнительно осложнило возвращение к полноценной работе.
Последствия для властей и пользователей
Множество округов, городов и служб общественной безопасности по США сообщили о серьезных перебоях в работе систем экстренного оповещения. Речь идет не только о технических проблемах при рассылке уведомлений, но и о необходимости оперативно перестраивать процессы, переносить контакты, повторно регистрировать пользователей и проверять корректность каналов связи.
Отдельно отмечается, что некоторые клиенты начали рассматривать расторжение контрактов с CodeRED в связи с последствиями кибератаки. Для поставщиков подобных систем это не только репутационный, но и регуляторный риск: работа с государственными органами предполагает повышенные требования к защите данных и устойчивости инфраструктуры.
Риски для пользователей и необходимые действия
В связи с утечкой данных всем пользователям CodeRED настоятельно рекомендуется немедленно сменить пароли не только в самой системе оповещения, но и на всех других сервисах, где могли использоваться те же комбинации. Практика уникальных, длинных и сложных паролей, а также использование менеджеров паролей и двухфакторной аутентификации (2FA) становится базовым требованием цифровой гигиены.
Дополнительно пользователям следует внимательно отслеживать подозрительные письма, SMS и звонки. Наличие у злоумышленников точных контактных данных повышает вероятность целевых фишинговых атак (spear phishing), направленных на кражу финансовой информации или компрометацию других учетных записей.
Инцидент с OnSolve CodeRED наглядно демонстрирует, что компрометация даже «устаревших» платформ может иметь системные последствия для кибербезопасности и реальной, физической безопасности людей. Организациям критической инфраструктуры необходимо регулярно проводить аудит унаследованных (legacy) систем, своевременно их выводить из эксплуатации, усиливать контроль доступа и резервное копирование, а пользователям — пересмотреть свои подходы к управлению паролями и защите онлайн-аккаунтов. Усиление персональной и организационной кибергигиены сегодня становится не рекомендацией, а необходимым условием безопасной цифровой жизни.
