Платформа OnSolve CodeRED, на якій базуються системи екстреного оповіщення десятків органів влади США, стала жертвою масштабної кібератаки INC ransomware. Інцидент призвів до збоїв у розсилці критично важливих попереджень населенню та витоку персональних даних користувачів, включно з паролями до облікових записів.
OnSolve CodeRED як елемент критичної інфраструктури кібербезпеки
Сервіс CodeRED, який управляється компанією Crisis24, використовується штатами, муніципалітетами, поліцією, пожежними частинами та іншими екстреними службами. Через нього розсилаються сповіщення про повені, пожежі, техногенні аварії, стихійні лиха, пошук зниклих безвісти та інші загрози життю і здоров’ю громадян.
Фактично CodeRED входить до критичної інфраструктури оповіщення. Будь-який серйозний збій у її роботі створює ризик, що мешканці не отримають своєчасні вказівки щодо евакуації чи дій у надзвичайній ситуації. Тому кібератаки на подібні системи розглядаються експертами як особливо чутливі інциденти, навіть якщо за ними стоять не державні APT-групи, а «класичні» кіберзлочинці.
Сценарій атаки INC ransomware на CodeRED: від проникнення до шифрування
За даними, оприлюдненими групою INC та підтвердженими заявами Crisis24, зловмисники отримали доступ до інфраструктури OnSolve 1 листопада 2025 року. Після етапу прихованої розвідки вони 10 листопада запустили шифрувальник, паралізувавши роботу вразливої частини платформи.
INC діє за моделлю Ransomware-as-a-Service (RaaS): розробники шкідливого ПЗ надають інфраструктуру «партнерам», які здійснюють атаки та діляться з ними прибутком. Такий підхід суттєво знижує поріг входу в кіберзлочинність і сприяє зростанню кількості атак на органи влади та об’єкти критичної інфраструктури у всьому світі.
Група заявила, що компанія нібито погодилась виплатити 100 000 доларів США викупу, однак переговори зірвалися. У відповідь зловмисники не надали ключі для розшифрування та виставили викрадені дані на продаж у даркнеті, опублікувавши скриншоти з обліковими записами та паролями у відкритому вигляді.
Масштаб витоку даних і проблеми з відновленням сервісу
За офіційною інформацією Crisis24, кібератака вразила застарілу версію платформи CodeRED, тоді як інші системи компанії не постраждали. Водночас саме ця legacy-версія активно використовувалася багатьма державними і муніципальними клієнтами, що суттєво підвищило масштаб інциденту.
У результаті компрометації зловмисники отримали доступ до таких персональних даних користувачів CodeRED, як імена, поштові адреси, e-mail, номери телефонів та паролі. Наявність паролів є особливо критичною, оскільки значна частина користувачів досі практикує повторне використання одних і тих самих комбінацій на різних сервісах. Це відкриває шлях до подальших компрометацій — від облікових записів у соцмережах до банківських кабінетів.
Для відновлення роботи Crisis24 була змушена повністю зупинити скомпрометовану версію та розгорнути сервіс на новій платформі CodeRED by Crisis24 із резервних копій. Однак доступні бекапи датувалися лише 31 березня 2025 року, через що частина облікових записів і конфігурацій не потрапила до оновленої системи. Це ускладнило повернення до штатної роботи та вимагало додаткового налаштування й переєстрації користувачів.
Вплив на органи влади, екстрені служби та довіру громадян
Багато округів, міст і служб громадської безпеки по всій території США повідомили про серйозні перебої в роботі систем екстреного оповіщення. Йшлося не лише про технічні труднощі з розсилкою повідомлень, а й про потребу швидко відновлювати бази контактів, повторно реєструвати користувачів та перевіряти працездатність усіх каналів зв’язку.
Окремі замовники почали переглядати контракти з CodeRED, враховуючи репутаційні ризики та регуляторні вимоги до захисту даних при роботі з органами державної влади. Подібні інциденти безпосередньо впливають на довіру громадян до державних сервісів та ефективність реагування на надзвичайні ситуації.
Ризики для користувачів і практичні рекомендації з кібербезпеки
Усім користувачам, чиї дані могли бути пов’язані з CodeRED, рекомендовано негайно змінити паролі не лише в цьому сервісі, а й на інших платформах, де використовувались ті самі або подібні комбінації. Найкращою практикою є застосування унікальних, довгих і складних паролів разом із використанням менеджерів паролів.
Варто обов’язково вмикати двохфакторну аутентифікацію (2FA) скрізь, де це можливо. Навіть якщо пароль потрапить до рук зловмисників, другий фактор — SMS-код, апаратний токен або додаток-автентифікатор — значно ускладнить несанкціонований доступ.
Користувачам також слід уважно ставитися до підозрілих листів, SMS та телефонних дзвінків. Точні контактні дані, отримані внаслідок витоку, можуть використовуватися для цільових фішингових атак (spear phishing), спрямованих на крадіжку фінансової інформації чи захоплення інших облікових записів.
Інцидент з OnSolve CodeRED наочно демонструє, що навіть «старі» або формально застарілі платформи залишаються важливою ланкою в ланцюгу безпеки й можуть стати точкою катастрофічного збою. Організаціям, що керують критичною інфраструктурою, необхідно посилити аудит legacy-систем, своєчасно їх виводити з експлуатації, впроваджувати принцип мінімальних привілеїв, сегментацію мережі та якісне резервне копіювання. Користувачам варто переглянути підходи до управління паролями, активувати 2FA та підвищувати власну обізнаність щодо фішингових загроз. Послідовне зміцнення цифрової гігієни вже не є опцією — це базова умова безпечного життя в сучасному цифровому середовищі.
