Informations LoTW activé
Le 22/08/2024
( ARRL / 21 AOÛT 2024 )
À un moment donné, début mai 2024, le réseau de systèmes de l’ARRL a été compromis par des actes de menaces (TA) utilisant des informations qu’ils avaient achetées sur le dark web. Les TA ont accédé aux systèmes locaux du siège et à la plupart des systèmes basés sur le cloud. Ils ont utilisé une grande variété de charges utiles qui ont affecté tout, des ordinateurs de bureau et portables aux serveurs basés sur Windows et Linux…..
Malgré la grande variété de configurations cibles, les TA semblaient avoir une charge utile qui hébergerait et exécuterait le cryptage ou la suppression d’actifs TI basés sur le réseau, ainsi que lancerait des demandes de rançon pour chaque système.
Cet incident grave était un acte de crime organisé. L’attaque hautement coordonnée et exécutée a eu lieu aux premières heures du matin du 15 mai. Ce matin-là, lorsque le personnel est arrivé, il était immédiatement évident que l’ARRL était devenue victime d’une vaste et sophistiquée attaque par ransomware. Le FBI a classé l’attaque comme « unique », car ils n’avaient jamais vu ce niveau de sophistication parmi les nombreuses autres attaques qu’ils connaissent. En moins de trois heures, une équipe de gestion de crise a été constituée, composée de la direction de l’ARRL, d’un fournisseur externe avec de vastes ressources et une expérience en matière de récupération de ransomware, d’avocats expérimentés dans la gestion des aspects juridiques de l’attaque, y compris l’interaction avec les autorités, et de notre compagnie d’assurance. Les autorités ont été immédiatement contactées, ainsi que le président de l’ARRL.
Les exigences de rançon des agents d’assistance, en échange de l’accès à leurs outils de décryptage, étaient exorbitantes. Il était clair qu’ils ne savaient pas, et ne se souciaient pas, qu’ils avaient attaqué une petite organisation 501(c)(3) aux ressources limitées. Leurs exigences de rançon ont été considérablement affaiblies par le fait qu’ils n’avaient accès à aucune donnée compromettante. Il était également clair qu’ils pensaient que l’ARRL disposait d’une large couverture d’assurance qui couvrirait un paiement de rançon de plusieurs millions de dollars. Après des jours de négociations tendues et de manœuvres risquées, l’ARRL a accepté de payer une rançon d’un million de dollars. Ce paiement, ainsi que le coût de la restauration, a été largement couvert par notre police d’assurance.
Depuis le début de l’incident, le conseil d’administration de l’ARRL s’est réuni chaque semaine lors d’une réunion spéciale continue pour présenter des rapports complets sur les progrès et offrir une assistance. Lors des premières réunions, il y avait des détails importants à couvrir, et le conseil d’administration s’est engagé de manière réfléchie, a posé des questions importantes et a pleinement soutenu l’équipe du siège pour que les efforts de restauration puissent continuer d’avancer. Les mises à jour des membres ont été publiées sur une seule page sur le web et postées sur Internet dans de nombreux forums et groupes. L’ARRL a travaillé en étroite collaboration avec des professionnels ayant une vaste expérience des questions de ransomware pour chaque publication. Il est important de comprendre que les agents techniques surveillaient de près l’ARRL pendant que nous négociions. Selon les conseils experts que nous recevions, nous ne pouvions rien communiquer publiquement d’informatif, d’utile ou de potentiellement antagoniste envers les agents techniques pendant cette période.
Aujourd’hui, la plupart des systèmes ont été restaurés ou attendent que les interfaces soient à nouveau en ligne pour les interconnecter. Pendant que nous étions en mode de restauration, nous avons également travaillé à simplifier l’infrastructure autant que possible. Nous anticipons qu’il pourrait falloir encore un ou deux mois pour terminer la restauration selon les nouvelles directives d’infrastructure et les nouvelles normes.
La plupart des avantages pour les membres de l’ARRL sont restés opérationnels pendant l’attaque. L’un des services qui ne l’était pas était le Logbook of The World (LoTW), qui est l’un de nos avantages pour les membres les plus populaires. Les données de LoTW n’ont pas été affectées par l’attaque et une fois que l’environnement a été prêt pour permettre à nouveau l’accès public aux serveurs basés sur le réseau de l’ARRL, nous avons remis LoTW en service. Le fait que LoTW ait pris moins de 4 jours pour résoudre un arriéré qui dépassait parfois les 60 000 enregistrements était exceptionnel.
Lors de la deuxième réunion du conseil d’administration de l’ARRL en juillet, le conseil a voté pour approuver un nouveau comité, le Comité consultatif sur la technologie de l’information. Il sera composé de membres du personnel de l’ARRL, de membres du conseil ayant une expérience avérée en TI, et d’autres membres de l’industrie de la TI actuellement employés comme experts en la matière dans certains domaines. Ils aideront à analyser et à conseiller sur les prochaines étapes à suivre concernant les TI de l’ARRL dans les limites financières de l’organisation.
Nous vous remercions de votre patience pendant que nous traversons ce processus. Les courriels de soutien moral et les offres d’expertise en TI ont été bien accueillis par l’équipe. Bien que nous ne soyons pas encore complètement sortis d’affaire et que nous travaillions toujours à la restauration de serveurs mineurs qui répondent à des besoins internes (tels que divers services de messagerie électronique comme le courrier massif et certains reflecteurs internes), nous sommes satisfaits des progrès réalisés et de l’incroyable dévouement du personnel et des consultants qui continuent de travailler ensemble pour mener cet incident à une conclusion réussie.
73, – Claude ON4CN
Info de la Source de EA1CS ICI