[A-DX] OT: Ransomware-Angriff auf ARRL

Roger Thauer
Sonntag, 25. August 2024, 16:26 Uhr

https://www.funkamateur.de/nachrichtendetails/items/lotw_nicht_erreichbar.html
Angriff auf die ARRL-Server – LoTW nicht erreichbar
2024-05-21
Ab dem 16.5. fiel es vielen Funkamateuren auf, dass der LoTW-Server 
nicht erreichbar war und die Logs nicht aktualisiert werden konnten. 
Dieser Zustand änderte sich auch in den folgenden Tagen nicht. Aktuell 
kann immer noch keine Verbindung zum LoTW hergestellt werden.
Die ARRL informiert, dass man dabei sei, nach einem ernsten Vorfall die 
Zugänge zu ihren Services und dem Netzwerk wiederherzustellen. Gemeinsam 
mit externen Experten arbeite man mit Hochdruck daran, wieder verfügbar 
zu werden.
Das alles sieht nach einem Ransomware-Angriff aus, denn üblicherweise 
wäre man nach DDoS-Angriffen längst wieder online. Auch ein Angriff auf 
Cloud-Server hätte sehr schnell behoben werden können. Möglicherweise 
sind sogar die Bare-Metal-Server der ARRL von diesem Angriff betroffen, 
was zumindest die erhebliche Verzögerung erklären würde. Dass ein 
sicheres Backup der Daten vorliegt, sollte selbstverständlich sein.
Die ARRL weist darauf hin, dass keine persönlichen Informationen der 
Nutzer gefährdet sind, da etwa Kreditkarten-Daten nicht gespeichert 
würden. Die Mitglieder-Datenbank beinhaltet nur öffentlich verfügbare Daten.


https://www.funkamateur.de/nachrichtendetails/items/arrl-ransomware.html
Ransomware-Angriff auf ARRL: Die Hintergründe
2024-08-23
Dass das LoTW wochenlang offline war, war der Amateurfunkgemeinde nicht 
verborgen geblieben. Das Ausmaß des Ransomware-Angriffs vom Mai 2024 auf 
die ARRL-Server gab der Verein nun bekannt:
Im Mai 2024 wurde das Netzwerk der ARRL von Cyberkriminellen 
angegriffen, die Informationen aus dem Dark Web nutzten. Die Täter 
griffen sowohl lokale als auch cloudbasierte Systeme an und verwendeten 
verschiedene Schadsoftware, die Daten und Programme unter Windows und 
Linux verschlüsselte und löschte. Der Angriff, den das FBI als bislang 
einzigartig bezeichnete, fand am 15. Mai in den frühen Morgenstunden 
statt und war eine gut koordinierte Ransomware-Attacke. Die Angreifer 
gingen offensichtlich von einem großen Unternehmen aus und stellten hohe 
Forderungen.
Trotz der Erpressung von einer Million Dollar, die von einer 
Versicherung größtenteils gedeckt wurde, war die Wiederherstellung 
schwierig und dauert bis heute an. Die Täter konnten jedoch keine 
kompromittierenden Daten erlangen.



https://www.arrl.org/news/arrl-it-security-incident-report-to-members
ARRL IT-Sicherheitsvorfall - Bericht an die Mitglieder
08/22/2024

Irgendwann Anfang Mai 2024 wurde das ARRL-Systemnetzwerk von 
Bedrohungsakteuren (TAs) mit Hilfe von Informationen, die sie im Dark 
Web erworben hatten, kompromittiert. Die TAs verschafften sich Zugang zu 
den Systemen der Zentrale vor Ort und zu den meisten Cloud-basierten 
Systemen. Sie verwendeten eine Vielzahl von Nutzdaten, die von Desktops 
und Laptops bis hin zu Windows- und Linux-basierten Servern reichten. 
Trotz der großen Vielfalt an Zielkonfigurationen schienen die TAs über 
eine Nutzlast zu verfügen, die für jedes System eine Verschlüsselung 
oder Löschung von netzwerkbasierten IT-Ressourcen bereitstellte und 
durchführte sowie die Zahlung von Lösegeld verlangte.
Bei diesem schweren Vorfall handelte es sich um einen Akt der 
organisierten Kriminalität. Der hochgradig koordinierte und ausgeführte 
Angriff fand in den frühen Morgenstunden des 15. Mai statt. Als die 
Mitarbeiter an diesem Morgen eintrafen, war sofort klar, dass die ARRL 
Opfer eines umfangreichen und ausgeklügelten Ransomware-Angriffs 
geworden war. Das FBI stufte den Angriff als „einzigartig“ ein, da es 
unter den vielen anderen Angriffen, mit denen es Erfahrung hat, keine 
derartig ausgefeilten Angriffe gesehen hatte. Innerhalb von drei Stunden 
wurde ein Krisenmanagementteam zusammengestellt, das sich aus der 
ARRL-Leitung, einem externen Anbieter mit umfangreichen Ressourcen und 
Erfahrungen im Bereich der Ransomware-Wiederherstellung, Anwälten mit 
Erfahrung im Umgang mit den rechtlichen Aspekten des Angriffs, 
einschließlich der Zusammenarbeit mit den Behörden, und unserem 
Versicherungsträger zusammensetzte. Die Behörden und der ARRL-Präsident 
wurden sofort kontaktiert.
Die Lösegeldforderungen der TAs als Gegenleistung für den Zugang zu 
ihren Entschlüsselungstools waren exorbitant hoch. Es war klar, dass sie 
nicht wussten und es ihnen egal war, dass sie eine kleine 
501(c)(3)-Organisation mit begrenzten Ressourcen angegriffen hatten. 
Ihre Lösegeldforderungen wurden durch die Tatsache, dass sie keinen 
Zugang zu kompromittierenden Daten hatten, drastisch abgeschwächt. Es 
war auch klar, dass sie davon ausgingen, dass ARRL über einen 
umfangreichen Versicherungsschutz verfügte, der eine Lösegeldzahlung in 
Höhe von mehreren Millionen Dollar abdecken würde. Nach tagelangen, 
angespannten Verhandlungen stimmte ARRL der Zahlung eines Lösegelds in 
Höhe von 1 Million Dollar zu. Diese Zahlung sowie die Kosten für die 
Wiederherstellung wurden größtenteils durch unsere Versicherungspolice 
gedeckt.
Von Beginn des Vorfalls an traf sich der ARRL-Vorstand wöchentlich zu 
einer Sondersitzung, um über den Stand der Arbeiten zu berichten und 
Unterstützung anzubieten. In den ersten Sitzungen gab es viele Details 
zu besprechen, und der Vorstand war sehr aufmerksam, stellte wichtige 
Fragen und unterstützte das Team im Hauptquartier, um die 
Wiederherstellungsarbeiten voranzutreiben. Aktualisierungen für die 
Mitglieder wurden auf einer einzigen Seite auf der Website 
veröffentlicht und im Internet in vielen Foren und Gruppen gepostet. 
ARRL arbeitete bei jedem Beitrag eng mit Fachleuten zusammen, die sich 
mit Ransomware-Angelegenheiten bestens auskennen. Es ist wichtig zu 
verstehen, dass die TAs ARRL unter die Lupe genommen haben, während wir 
verhandelt haben. Basierend auf den Ratschlägen der Experten konnten wir 
in dieser Zeit nichts Informatives, Nützliches oder potenziell 
Feindliches an die TAs weitergeben.
Heute sind die meisten Systeme wiederhergestellt oder warten darauf, 
dass die Schnittstellen wieder online gehen, um sie miteinander zu 
verbinden. Während wir uns im Wiederherstellungsmodus befanden, haben 
wir auch daran gearbeitet, die Infrastruktur so weit wie möglich zu 
vereinfachen. Wir gehen davon aus, dass es noch ein oder zwei Monate 
dauern kann, bis die Wiederherstellung unter den neuen 
Infrastrukturrichtlinien und neuen Standards abgeschlossen ist.
Die meisten Vorteile für ARRL-Mitglieder waren während des Angriffs 
weiterhin verfügbar. Eine davon war Logbook of The World (LoTW), eine 
der beliebtesten Leistungen für unsere Mitglieder. Die LoTW-Daten waren 
von dem Angriff nicht betroffen, und sobald die Umgebung wieder den 
öffentlichen Zugang zu den ARRL-Netzwerkservern zuließ, haben wir LoTW 
wieder in Betrieb genommen. Die Tatsache, dass LoTW weniger als 4 Tage 
brauchte, um einen Rückstand von zeitweise über 60.000 Protokollen zu 
bewältigen, war hervorragend.
Auf der zweiten ARRL-Vorstandssitzung im Juli stimmte der Vorstand für 
die Einrichtung eines neuen Ausschusses, des Information Technology 
Advisory Committee. Dieser wird sich aus ARRL-Mitarbeitern, 
Vorstandsmitgliedern mit nachgewiesener Erfahrung im IT-Bereich und 
zusätzlichen Mitgliedern aus der IT-Branche zusammensetzen, die derzeit 
als Fachexperten in einigen Bereichen tätig sind. Sie werden dabei 
helfen, künftige Schritte für die ARRL-IT im Rahmen der der Organisation 
zur Verfügung stehenden finanziellen Mittel zu analysieren und zu beraten.
Wir danken Ihnen für Ihre Geduld, während wir uns durch diese Situation 
navigiert haben. Die E-Mails mit moralischer Unterstützung und das 
Angebot, uns mit IT-Fachwissen zu unterstützen, wurden vom Team gut 
aufgenommen. Obwohl wir noch nicht ganz über den Berg sind und immer 
noch an der Wiederherstellung kleinerer Server arbeiten, die dem 
internen Bedarf dienen (z. B. verschiedene E-Mail-Dienste wie Bulk Mail 
und einige interne Reflektoren), sind wir mit den erzielten 
Fortschritten und dem unglaublichen Engagement der Mitarbeiter und 
Berater zufrieden, die weiterhin zusammenarbeiten, um diesen Vorfall zu 
einem erfolgreichen Abschluss zu bringen.
Diese Information wurde den ARRL-Mitgliedern am 21. August 2024 per 
E-Mail übermittelt.



https://www.bleepingcomputer.com/news/security/american-radio-relay-league-confirms-1-million-ransom-payment/

American Radio Relay League bestätigt Lösegeldzahlung von 1 Million Dollar
Von Sergiu Gatlan
     23. August 2024 03:40 PM 12
Die American Radio Relay League (ARRL) hat bestätigt, dass sie ein 
Lösegeld in Höhe von 1 Million Dollar gezahlt hat, um ein 
Entschlüsselungsprogramm zu erhalten, mit dem die im Mai durch einen 
Ransomware-Angriff verschlüsselten Systeme wiederhergestellt werden können.
Nach der Entdeckung des Vorfalls nahm die National Association for 
Amateur Radio die betroffenen Systeme vom Netz, um den Angriff 
einzudämmen. Einen Monat später teilte sie mit, dass ihr Netzwerk von 
einer „böswilligen internationalen Cybergruppe“ in einem „ausgeklügelten 
Netzwerkangriff“ gehackt worden sei.
Später informierte ARRL die betroffenen Personen in einem Schreiben über 
die Datenschutzverletzung, dass am 14. Mai ein „ausgeklügelter 
Ransomware-Vorfall“ festgestellt wurde, nachdem die Computersysteme 
verschlüsselt worden waren. In einer Eingabe an das Büro des 
Generalstaatsanwalts von Maine im Juli erklärte ARRL, dass nur 150 
Mitarbeiter von der Datenverletzung betroffen waren.
Während die Organisation den Angriff noch nicht mit einer bestimmten 
Ransomware-Operation in Verbindung gebracht hat, haben Quellen gegenüber 
BleepingComputer erklärt, dass die Embargo-Ransomware-Bande hinter dem 
Verstoß steckt.
ARRL teilte in der Benachrichtigung über die Sicherheitsverletzung mit, 
dass bereits „alle angemessenen Schritte unternommen wurden, um zu 
verhindern, dass [...] die Daten weiter veröffentlicht oder verbreitet 
werden“, was zu diesem Zeitpunkt als versteckte Bestätigung dafür 
interpretiert wurde, dass ein Lösegeld gezahlt wurde oder wahrscheinlich 
gezahlt werden wird.
Lösegeld in Höhe von 1 Million Dollar durch Versicherung gedeckt
Am Mittwoch gab ARRL bekannt, dass es den Angreifern tatsächlich ein 
Lösegeld gezahlt hat, nicht um zu verhindern, dass die gestohlenen Daten 
im Internet veröffentlicht werden, sondern um ein 
Entschlüsselungsprogramm zu erhalten, mit dem die während des Angriffs 
am Morgen des 15. Mai beschädigten Systeme wiederhergestellt werden können.
„Die Lösegeldforderungen der Angreifer als Gegenleistung für den Zugang 
zu ihren Entschlüsselungstools waren exorbitant hoch. Es war klar, dass 
sie nicht wussten, dass sie eine kleine 501(c)(3)-Organisation mit 
begrenzten Ressourcen angegriffen hatten, und es war ihnen auch egal“, 
hieß es in einer gestern veröffentlichten Erklärung.
„Ihre Lösegeldforderungen wurden durch die Tatsache, dass sie keinen 
Zugang zu kompromittierenden Daten hatten, drastisch abgeschwächt. Es 
war auch klar, dass sie glaubten, ARRL habe einen umfangreichen 
Versicherungsschutz, der eine Lösegeldzahlung in Höhe von mehreren 
Millionen Dollar abdecken würde.
„Nach tagelangen, angespannten Verhandlungen stimmte ARRL der Zahlung 
eines Lösegelds in Höhe von 1 Million Dollar zu. Diese Zahlung sowie die 
Kosten für die Wiederherstellung wurden größtenteils durch unsere 
Versicherungspolice gedeckt.“
ARRL sagt, dass die meisten Systeme bereits wiederhergestellt wurden und 
erwartet, dass es bis zu zwei Monate dauern wird, um alle betroffenen 
Server (meist kleinere Server für den internen Gebrauch) unter „neuen 
Infrastrukturrichtlinien und neuen Standards“ wiederherzustellen.


roger