Irgendwann Anfang Mai 2024 wurde das Systemnetzwerk von ARRL von Bedrohungsakteuren (TAs) unter Verwendung von Informationen, die sie im Dark Web gekauft hatten, kompromittiert. Die TAs haben auf die Vor-Ort-Systeme der Zentrale und die meisten cloudbasierten Systeme zugegriffen. Sie verwendeten eine Vielzahl von Nutzlasten, die alles von Desktops und Laptops bis hin zu Windows-basierten und Linux-basierten Servern betreffen. Trotz der großen Vielfalt der Zielkonfigurationen schienen die TAs eine Nutzlast zu haben, die die Verschlüsselung oder Löschung von netzwerkbasierten IT-Assets hosten und ausführen würde, sowie Anforderungen an eine Lösegeldzahlung für jedes System.

Dieser schwere Vorfall war ein Akt der organisierten Kriminalität. Der hochgradig koordinierte und ausgeführte Angriff fand in den frühen Morgenstunden des 15. Mai statt. An diesem Morgen, als die Mitarbeiter ankamen, war es sofort offensichtlich, dass ARRL Opfer eines umfangreichen und ausgeklügelten Ransomware-Angriffs geworden war. Das FBI kategorisierte den Angriff als „einzigartig“, da sie dieses Maß an Raffinesse unter den vielen anderen Angriffen, mit denen sie Erfahrung haben, nicht gesehen hatten. Innerhalb von 3 Stunden wurde ein Krisenmanagement-Team aus dem ARRL-Management, einem externen Anbieter mit umfangreichen Ressourcen und Erfahrung im Bereich der Ransomware-Wiederherstellung, Anwälten, die Erfahrung in der Verwaltung der rechtlichen Aspekte des Angriffs haben, einschließlich der Interaktion mit den Behörden, und unserer Versicherungsgesellschaft aufgebaut. Die Behörden wurden sofort kontaktiert, wie auch der ARRL-Präsident.

Die Lösegeldforderungen der TAs im Austausch für den Zugang zu ihren Entschlüsselungswerkzeugen waren exorbitant. Es war klar, dass sie nicht wussten und sich nicht darum kümmerten, dass sie eine kleine 501(c)(3)-Organisation mit begrenzten Ressourcen angegriffen hatten. Ihre Lösegeldforderungen wurden durch die Tatsache, dass sie keinen Zugang zu kompromittierenden Daten hatten, dramatisch geschwächt. Es war auch klar, dass sie glaubten, dass ARRL einen umfangreichen Versicherungsschutz hatte, der eine Multi-Millionen-Dollar-Lösegeldzahlung abdecken würde. Nach Tagen angespannter Verhandlungen und Brinkmanship stimmte ARRL zu, ein Lösegeld von 1 Million Dollar zu zahlen. Diese Zahlung wurde zusammen mit den Kosten für die Restaurierung weitgehend von unserer Versicherungspolice übernommen.

Von Beginn des Vorfalls an traf sich der ARRL-Vorstand wöchentlich in einer fortlaufenden Sondersitzung des Vorstands, um vollständige Fortschrittsberichte zu erhalten und Unterstützung anzubieten. In den ersten Sitzungen gab es wichtige Details zu behandeln, und der Vorstand war nachdenklich engagiert, stellte wichtige Fragen und unterstützte das Team in der Zentrale voll und ganz, um die Restaurierungsbemühungen in Bewegung zu halten. Mitglieder-Updates wurden auf einer einzigen Seite der Website veröffentlicht und in vielen Foren und Gruppen über das Internet veröffentlicht. ARRL arbeitete bei jedem Beitrag eng mit Fachleuten zusammen, die in Ransomware-Angelegenheiten tief erfahren sind. Es ist wichtig zu verstehen, dass die TAs ARRL unter einer Lupe hatten, während wir verhandelten. Basierend auf der Expertenberatung, die uns gegeben wurde, konnten wir den TAs in diesem Zeitraum nichts Informatives, Nützliches oder potenziell antagonistisches öffentlich mitteilen.

Heute wurden die meisten Systeme wiederhergestellt oder warten darauf, dass Schnittstellen wieder online gehen, um sie zu verbinden. Während wir uns im Wiederherstellungsmodus bewaren, haben wir auch daran gearbeitet, die Infrastruktur so weit wie möglich zu vereinfachen. Wir gehen davon aus, dass es noch ein oder zwei Monate dauern kann, bis die Wiederherstellung gemäß den neuen Infrastrukturrichtlinien und neuen Standards abgeschlossen ist.

Die meisten Vorteile für ARRL-Mitglieder blieben während des Angriffs in Betrieb. Eine, die es nicht war, war Logbook of The World (LoTW), das eine unserer beliebtesten Vorteile für Mitglieder ist. LoTW-Daten waren von dem Angriff nicht betroffen, und sobald die Umgebung bereit war, den öffentlichen Zugriff auf ARRL-netzwerkbasierte Server wieder zu ermöglichen, haben wir LoTW wieder in Betrieb genommen. Die Tatsache, dass LoTW weniger als 4 Tage brauchte, um einen Rückstand zu überstehen, der manchmal über 60.000 Protokolle überstieg, war ausstehend.

Der Vorstand auf der zweiten Vorstandssitzung der ARRL im Juli stimmte für die Genehmigung eines neuen Ausschusses, des Informationstechnologie-Beratungsausschusses. Dies wird aus ARRL-Mitarbeitern, Vorstandsmitgliedern mit nachgewiesener Erfahrung in der IT und weiteren Mitgliedern der IT-Branche bestehen, die derzeit in einigen Bereichen als Fachexperten beschäftigt sind. Sie werden helfen, zukünftige Schritte mit ARRL IT im Rahmen der der Organisation zur Verfügung stehenden finanziellen Mittel zu analysieren und zu beraten.

Wir danken Ihnen für Ihre Geduld, während wir unseren Weg durch dies navigieren. Die E-Mails der moralischen Unterstützung und Angebote von IT-Expertise wurden vom Team gut aufgenommen. Obwohl wir noch nicht ganz aus dem Wald sind und immer noch daran arbeiten, kleinere Server wiederherzustellen, die interne Bedürfnisse erfüllen (wie verschiedene E-Mail-Dienste wie Massenpost und einige interne Reflektoren), sind wir mit den erzielten Fortschritten und dem unglaublichen Engagement von Mitarbeitern und Beratern, die weiterhin zusammenarbeiten, um diesen Vorfall zu einem erfolgreichen Abschluss zu bringen, zufrieden.

Quelle: https://www.arrl.org/news/view/arrl-it-security-incident-report-to-members