OnSolve CodeRED: cyberatak paraliżuje systemy ostrzegania w USA. INC Ransom bierze odpowiedzialność - Security Bez Tabu

OnSolve CodeRED: cyberatak paraliżuje systemy ostrzegania w USA. INC Ransom bierze odpowiedzialność

Wprowadzenie do problemu / definicja luki

Platforma OnSolve CodeRED (obecnie obsługiwana przez Crisis24) – używana przez setki jednostek administracji, policję i straże pożarne do powiadomień o zagrożeniach – padła ofiarą cyberataku, który wymusił wyłączenie i dekomisję „legacy” środowiska CodeRED oraz spowodował ogólnokrajowe zakłócenia w rozsyłaniu alertów. Według komunikatów do klientów incydent był „ukierunkowanym atakiem zorganizowanej grupy przestępczej” ograniczonym do środowiska CodeRED.

W skrócie

  • Sprawcy: gang INC Ransom publicznie przypisał sobie atak, publikując próbki danych na swoim serwisie w Tor; BleepingComputer potwierdza te twierdzenia.
  • Linia czasu: włamanie 1 listopada 2025 r., szyfrowanie 10 listopada 2025 r. (wg deklaracji INC Ransom i ustaleń redakcyjnych).
  • Skutki operacyjne: wyłączenie starego CodeRED, migracja do nowego CodeRED by Crisis24; w części jurysdykcji pojawiły się ograniczenia integracji z FEMA IPAWS.
  • Zakres danych: imiona i nazwiska, adresy, e-maile, telefony, hasła do profili CodeRED; na dziś brak dowodów publicznej publikacji, ale ryzyko wycieku pozostaje.
  • Backupy: odtwarzanie usług z kopii zapasowej z 31 marca 2025 r. – możliwe braki kont/rekordów.

Kontekst / historia / powiązania

CodeRED to system masowego powiadamiania (głos/SMS/e-mail/aplikacja) używany przez władze lokalne w USA do ostrzegania o ekstremalnej pogodzie, ewakuacjach, skażeniach wody czy poszukiwaniach zaginionych. Przejście do „CodeRED by Crisis24” następowało już wcześniej; incydent przyspieszył dekomisję starszej instancji. Liczne hrabstwa/miasta potwierdziły zakłócenia i komunikowały mieszkańcom obejścia oraz rejestrację ponowną.

Analiza techniczna / szczegóły luki

  • Degradacja i dekomisja: atak „uszkodził” środowisko OnSolve CodeRED. Dostawca zdecydował o trwałym wyłączeniu legacy i przenosinach klientów do odseparowanej, audytowanej platformy.
  • Ekspozycja danych: potwierdzono zabranie danych kontaktowych i haseł użytkowników CodeRED. Część zrzutów prezentowanych przez INC Ransom zawiera hasła w postaci jawnej – zalecana natychmiastowa zmiana, zwłaszcza przy ponownym użyciu („password reuse”).
  • Linia czasu techniczna: według deklaracji gangu – kompromitacja 1 XI 2025, szyfrowanie 10 XI; po braku płatności groźba sprzedaży danych. W odpowiedzi dostawca zawiesił dostęp i rozpoczął odtwarzanie z kopii z 31 III 2025.
  • Wpływ na integracje: w co najmniej jednej jurysdykcji informowano o czasowym wstrzymaniu dostępu do IPAWS dla władz korzystających z dotkniętej instancji. (Uwaga: komunikat lokalny – nie jest to potwierdzenie federalne).

Praktyczne konsekwencje / ryzyko

  • Ryzyko dla ciągłości ostrzegania: opóźnienia/niemożność wysyłki masowych alertów, konieczność przełączeń na alternatywy (np. stanowe kanały, sąsiednie powiaty).
  • Ryzyko nadużyć danych: phishing/SMiShing/vishing na bazie przejętych rekordów, podszywanie się pod „fałszywe alerty” oraz ataki z resetem haseł, jeśli użytkownicy re-używali hasła z CodeRED.
  • Ryzyko reputacyjne i prawne: renegocjacje/zerwania kontraktów przez służby, presja na spełnienie wymagań ciągłości działania i audytów strony trzeciej.

Rekomendacje operacyjne / co zrobić teraz

Dla jednostek samorządowych / służb (CIO/CISO/EM):

  1. BCP/DR: uruchomić alternatywny kanał ostrzegania (np. stanowy, federalny, sąsiednia jednostka – „mutual aid”), z testami łączności i szablonami komunikatów.
  2. Zarządzanie tożsamością: wymusić reset haseł wszystkich kont operatorskich oraz mieszkańców (jeśli lokalnie zarządzane), z blokadą reuse i MFA.
  3. Higiena danych: przejrzeć listy subskrybentów, oznaczyć rekordy odtworzone ze starej kopii (31.03.2025) i wezwać do ponownej rejestracji tam, gdzie brakuje kont.
  4. Komunikacja kryzysowa: wydać FAQ/poradnik dla mieszkańców: jak rozpoznać prawdziwy alert, gdzie śledzić ogłoszenia, jak zgłaszać podejrzane wiadomości. (Przykłady dobrych praktyk publikują liczne powiaty).
  5. Ocena kontraktów i due diligence: żądać od dostawcy raportu z dochodzenia, wyników pentestów, certyfikatów i planu hardeningu nowej platformy; ocenić integracje (np. IPAWS).

Dla obywateli / subskrybentów CodeRED:

  1. Zmień hasło CodeRED i wszędzie, gdzie było użyte tak samo. Włącz MFA w usługach, które na to pozwalają.
  2. Uważaj na fałszywe alerty: weryfikuj komunikaty na oficjalnych stronach miasta/hrabstwa i kanałach społeczności.
  3. Zrejestruj się ponownie, jeśli lokalne władze tego wymagają (część kont mogła nie odtworzyć się z kopii).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W przeciwieństwie do wielu „zwykłych” wycieków danych w sektorze komercyjnym, tu bezpośrednio zagrożona jest funkcja bezpieczeństwa publicznego – ciągłość rozsyłania alertów. Podobnie jak w atakach na operatorów infrastruktury krytycznej, skutki incydentu wykraczają poza IT (operacyjne i społeczne ryzyko). Atrybucja do INC Ransom (RaaS) wpisuje się w trend grup celujących w podmioty z niską tolerancją na przestoje.

Podsumowanie / kluczowe wnioski

  • Atak na OnSolve CodeRED zatrzymał kluczowe kanały ostrzegania, wymuszając dekomisję starej platformy i migrację do nowej instancji.
  • Dane użytkowników (w tym hasła) zostały skradzione; ryzyko publikacji lub sprzedaży istnieje, mimo braku obecnie publicznych dumpów. Reset haseł i komunikacja do mieszkańców to priorytet.
  • Jednostki powinny wdrożyć obejścia (stanowe/federalne kanały, współpraca z sąsiadami) oraz zweryfikować bezpieczeństwo i zgodność nowego CodeRED by Crisis24.

Źródła / bibliografia

  • BleepingComputer: szczegóły incydentu, atrybucja do INC Ransom, daty 1 i 10 listopada, zakres danych, backup z 31.03.2025. (BleepingComputer)
  • CBS News Colorado: oświadczenia Crisis24 (czasowe zawieszenie dostępu 10 XI, ryzyko publikacji danych) i wpływ na służby. (CBS News)
  • FAQ/komunikaty miast/hrabstw (Reading, MA; Camden County, GA): opis „ukierunkowanego ataku”, dekomisja legacy i migracja do nowego CodeRED. (readingma.gov)
  • Beltrami County (MN): informacja o konsekwencjach dla integracji IPAWS (lokalny komunikat). (Beltrami County)
  • Buncombe County (NC) / WLOS: lokalne potwierdzenia naruszenia danych i braku publikacji w chwili obecnej. (buncombenc.gov)