CodeRED wyłączony po ataku ransomware. Co się stało z amerykańnym systemem ostrzegania?

Wprowadzenie do problemu / definicja luki

Na początku listopada 2025 r. platforma powiadomień kryzysowych OnSolve CodeRED – wykorzystywana przez tysiące miast, hrabstw i służb w USA do wysyłania alertów o zagrożeniach – została zaatakowana przez gang INC Ransom. W efekcie operator (Crisis24/GardaWorld) zdekomisjonował (trwale wyłączył) starą, „legacy” wersję CodeRED, a klientów przenosi do nowego środowiska. Incydent uderzył w komunikację władz lokalnych m.in. w okresie Święta Dziękczynienia.

W skrócie

• Atak ransomware uszkodził środowisko legacy CodeRED; operator wyłączył platformę i rozpoczął migrację klientów do „CodeRED by Crisis24”.
• Dane użytkowników (imiona i nazwiska, adresy, e-maile, numery telefonów, hasła) zostały skradzione; część została opublikowana online.
• Oś czasu: dostęp uzyskany 1 listopada, szyfrowanie 10 listopada; publikacja próbek danych 22–23 listopada.
• Kopie zapasowe: odtwarzanie z backupu z 31 marca 2025 r., co oznacza luki w stanie kont i danych.
• Systemy rządowe EAS/IPAWS nie ucierpiały; problem dotyczy komercyjnej platformy powiadomień opt-in.

Kontekst / historia / powiązania

CodeRED to popularny, komercyjny system „mass notification” dla samorządów i służb publicznych (pogoda, ewakuacje, przerwy w dostawach). W przeciwieństwie do federalnego Emergency Alert System (EAS), CodeRED wymaga rejestracji użytkownika i utrzymuje własną bazę danych kontaktowych. Atak nie dotyczył EAS; uderzył w bazę i infrastrukturę CodeRED, co wymusiło wyłączenie starej platformy i przyspieszoną migrację do nowej.

Analiza techniczna / szczegóły luki

Według oświadczeń i relacji mediów branżowych:

• Wejście do środowiska: napastnicy mieli uzyskać dostęp 1 listopada 2025 r., a 10 listopada zaszyfrowali pliki (etap egzekucji ransomware), co spowodowało uszkodzenie środowiska legacy.
• Ekfiltracja danych: skradzione rekordy obejmują dane identyfikacyjne i kontaktowe oraz hasła profili CodeRED; gang opublikował próbki i oferuje sprzedaż zestawu.
• Backup i odtwarzanie: uruchomiono nowy „CodeRED by Crisis24”, odtwarzając dane z backupu z 31.03.2025, co skutkuje brakującymi kontami i lukami w historii subskrypcji.
• Atrybucja i negocjacje: za atak odpowiada INC Ransom; według ich relacji odrzucono rzekomą propozycję 100 tys. USD, po czym dane wystawiono na sprzedaż. (Uwaga: to twierdzenie przestępców; operator nie potwierdził kwoty).

Praktyczne konsekwencje / ryzyko

• Ryzyko dla mieszkańców: narażenie na phishing/SMiShing/voice phishing z użyciem realnych danych kontaktowych i kontekstu lokalnych alertów; ryzyko przejęcia kont tam, gdzie hasła były recyklingowane.
• Ryzyko operacyjne dla służb: utrata kanału powiadamiania w szczytowych okresach pogodowych, opóźnienia w migracji i rekonstrukcji list subskrybentów, możliwe błędy geotargetowania i niekompletne grupy.
• Zaufanie publiczne: komunikaty wielu miast/hrabstw o przerwie i o wycieku wzmacniają negatywny efekt reputacyjny; część klientów rozważa wypowiedzenie umów.

Rekomendacje operacyjne / co zrobić teraz

Dla władz lokalnych i służb:

1. Komunikacja wielokanałowa: natychmiastowe „failover” na alternatywne kanały (IPAWS/EAS, lokalne SMS-y, radio FM, social media) oraz powiadomienie o ryzyku phishingu. (Patrz: brak wpływu na EAS).
2. Reset i wymuszenie haseł wszystkich kont operatorów i subskrybentów; wdrożenie MFA; sprawdzenie list dystrybucyjnych pod kątem braków po odtworzeniu z backupu.
3. Higiena kopii zapasowych: polityka 3-2-1, testy odtworzeniowe, skrócenie RPO; izolacja backupów od domeny produkcyjnej.
4. Segmentacja i zasada najmniejszych uprawnień w środowiskach notyfikacji (separacja tenantów, kont serwisowych, kluczy SMS/e-mail).
5. Monitorowanie kompromitacji: obserwacja wycieków haseł i danych kontaktowych, blokady dla znanych kampanii SMiShing/robocalls; playbooki reagowania.
6. Ocena dostawców (third-party risk): przegląd umów SLA/OLA, wymogi co do immutable backups, testów red team i audytów niezależnych; klauzule dot. raportowania incydentów i kar umownych.

Dla mieszkańców/subskrybentów:

• Zmień hasło używane w CodeRED (i wszędzie, gdzie było recyklingowane), włącz MFA, uważaj na fałszywe alerty przez SMS/telefon/e-mail wykorzystujące lokalny kontekst.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W przeciwieństwie do incydentów wpływających na ogólnokrajowy EAS/IPAWS, atak dotknął komercyjnej platformy masowego powiadamiania. Skutkiem ubocznym jest utrata dostępności i integralności bazy subskrybentów, a nie naruszenie krajowej infrastruktury ostrzegania. Jednocześnie efekt operacyjny w skali lokalnej jest znaczący – podobnie jak w innych atakach na systemy usług publicznych, np. lokalne call-centra 911, gdzie utrata danych kontaktowych utrudnia szybkie dotarcie do mieszkańców.

Podsumowanie / najważniejsze wnioski

• Legacy CodeRED został trwale wyłączony po ataku INC Ransom; trwa migracja do nowego środowiska.
• Wykradziono i częściowo opublikowano dane użytkowników, w tym hasła – krytyczne ryzyko recyklingu haseł i kampanii socjotechnicznych.
• Odtwarzanie z przestarzałego backupu (31.03.2025) pogłębia problem braków danych i operacyjnego „długu”.
• Priorytetem jest higiena tożsamości, wielokanałowa komunikacja awaryjna oraz dojrzały third-party risk management.

Źródła / bibliografia

1. Dark Reading — „CodeRED Emergency Alert Platform Shut Down Following Cyberattack”, 1 grudnia 2025. (Dark Reading)
2. CyberScoop — „Crisis24 shuts down emergency notification system in wake of ransomware attack”, 27 listopada 2025. (CyberScoop)
3. SecurityWeek — „Ransomware Attack Disrupts Local Emergency Alert System Across US”, 26 listopada 2025 (aktualizacja). (SecurityWeek)
4. BleepingComputer — „OnSolve CodeRED cyberattack disrupts emergency alert systems nationwide”, 26 listopada 2025. (BleepingComputer)
5. GovTech — „Emergency Notification System Hit by Cyber Attack”, 26 listopada 2025. (govtech.com)