Платформа оповещения CodeRED компании OnSolve, которую обслуживает фирма по управлению рисками Crisis24, стала жертвой крупной кибератаки. Инцидент привёл к сбоям в системах экстренных уведомлений, которыми пользуются органы власти и службы реагирования по всей территории США, и одновременно обернулся утечкой персональных данных граждан.
Crisis24 сообщает, что атака затронула только среду CodeRED, другие системы компании не пострадали. Однако для сдерживания последствий пришлось вывести из эксплуатации старую инфраструктуру сервиса. Это нарушило работу рассылок экстренных сообщений, в том числе уведомлений о чрезвычайных ситуациях и неблагоприятных погодных условиях, которыми пользуются местные администрации, полиция и пожарные подразделения.
В ходе расследования Crisis24 подтвердила, что злоумышленники успели скопировать массив данных платформы. Среди похищенной информации — имена, почтовые адреса, электронная почта, номера телефонов и пароли, использовавшиеся в профилях CodeRED. При этом компания утверждает, что признаков открытой публикации этих сведений пока не обнаружено, однако это не совсем так.
За атакой, вероятно, стоит вымогательская группировка INC Ransom. На своём сайте в сети Tor она создала запись, посвящённую OnSolve, и опубликовала скриншоты с примерами клиентских данных, включая адреса электронной почты и пароли, отображённые в открытом виде.
Участники группировки заявляют, что проникли в инфраструктуру OnSolve 1 ноября 2025 года, зашифровали файлы 10 ноября, а после отказа от выплаты выкупа перешли к продаже похищенной информации.
Из-за нанесённого ущерба инфраструктура CodeRED сейчас восстанавливается из резервной копии на базе нового сервиса «CodeRED by Crisis24». Доступный бэкап датирован 31 марта 2025 года, поэтому часть учётных записей и свежие изменения могут не попасть в обновлённую систему. Местные органы власти и службы общественной безопасности по всей стране уже сообщают о работах по возвращению систем оповещения к штатному режиму.
Поскольку часть продемонстрированных паролей хранились без шифрования, пользователям CodeRED настоятельно рекомендуется сменить данные для входа везде, где использовалась та же комбинация.
INC Ransom относится к моделям «вымогатель как услуга» (RaaS) и действует с июля 2023 года. За это время группировка успела атаковать организации по всему миру, затронув образовательные и медицинские учреждения, органы власти и крупный бизнес, включая подразделения Yamaha Motor Philippines, Национальную службу здравоохранения Шотландии, ритейлера Ahold Delhaize и американское подразделение Xerox Business Solutions.