Re: [A-DX] OT: Ransomware-Angriff auf ARRL

Roger Thauer
Sonntag, 25. August 2024, 21:27 Uhr

Am 25.08.2024 um 16:37 schrieb Tom Kamp:
> Das liest sich in anderen Quellen anders:

Das war die Version aus deutscher Quelle vom "Funkamateur":
"Die Täter konnten jedoch keine kompromittierenden Daten erlangen"


https://www.bleepingcomputer.com/news/security/american-radio-relay-league-confirms-1-million-ransom-payment/
"....In einer Eingabe an das Büro des Generalstaatsanwalts von Maine im 
Juli erklärte ARRL, dass nur 150 Mitarbeiter von der Datenverletzung 
betroffen waren."


https://www.arrl.org/news/arrl-it-security-incident-report-to-members
Hier stand weder etwas über die Anzahl der betroffenen Personen, auch 
die gezahlte Summe wurde nicht erwähnt, dafür andere Einzelheiten.


Zum Abschluss noch eine "russische Version":
https://www.securitylab.ru/news/550080.php

"...Die Amerikanische Amateurfunk-Liga (ARRL) hat endlich bestätigt, 
dass die Daten einiger ihrer Mitarbeiter am 14. Mai dieses Jahres durch 
einen Ransomware-Angriff gestohlen wurden, der von der Organisation 
zunächst als „ernster Vorfall“ bezeichnet wurde.
Nach der Entdeckung des Hacks schaltete die ARRL die betroffenen Systeme 
ab, um den Vorfall einzudämmen, beauftragte externe Experten mit der 
Bewertung des Schadens und begann, aktiv mit den 
Strafverfolgungsbehörden zusammenzuarbeiten. Anfang Juni teilte die 
Organisation mit, dass ihre Systeme von einer „böswilligen 
internationalen Cybergruppe“ in einem „ausgeklügelten Netzwerkangriff“ 
kompromittiert worden waren.
In den Mitteilungen über die Datenschutzverletzung, die an die 
betroffenen Personen verschickt wurden, beschrieb ARRL den Angriff als 
Ransomware-Attacke und erklärte, dass eine unbefugte dritte Partei 
während des Vorfalls möglicherweise auf die persönlichen Daten der 
betroffenen Personen zugegriffen hat.
Die betroffenen Daten könnten persönliche Informationen wie Namen, 
Adressen und Sozialversicherungsnummern enthalten haben. In einer 
Erklärung an das Büro des Generalstaatsanwalts von Maine behauptet die 
Organisation, dass der Vorfall 150 Mitarbeiter der Liga betraf und keine 
weiteren Personen betroffen waren.
Obwohl die ARRL keine Beweise dafür gefunden hat, dass die gestohlenen 
Informationen verwendet wurden, hat die Organisation beschlossen, den 
Betroffenen als Vorsichtsmaßnahme 24 Monate lang eine kostenlose 
Identitätsüberwachung durch Kroll anzubieten.
Die ARRL hat den Angriff nicht mit einer bestimmten Ransomware-Gruppe in 
Verbindung gebracht, aber Quellen, die mit der Situation vertraut sind, 
sagen, dass die Embargo-Gruppe beteiligt sein könnte. Dabei handelt es 
sich um eine relativ neue Hackergruppe, die erst im Mai dieses Jahres 
ihre Aktivitäten aufgenommen hat. Auf ihrer durchgesickerten Website 
sind derzeit nur 8 Opfer aufgelistet, aber die ARRL war nicht in dieser 
Liste enthalten.
In den Mitteilungen über die Datenschutzverletzung hat die ARRL erklärt, 
dass sie alle angemessenen Schritte unternommen hat, um eine weitere 
Verbreitung oder Veröffentlichung der Daten zu verhindern, was auch die 
Zahlung eines Lösegelds an die Angreifer bedeuten kann, damit die Daten 
nicht weitergegeben werden.
Der Vorfall erinnert daran, dass keine Organisation vor Cyberangriffen 
gefeit ist. Er unterstreicht die Notwendigkeit einer kontinuierlichen 
Verbesserung der Sicherheitsmaßnahmen, der Mitarbeiterschulung und eines 
klaren Hacking-Aktionsplans für alle Unternehmen, unabhängig von ihrer 
Größe oder ihrem Geschäftsprofil."



Je mehr Quellen, desto mehr Details....


https://www.bleepingcomputer.com/news/security/arrl-finally-confirms-ransomware-gang-stole-data-in-cyberattack/
++
Obwohl diese Ransomware-Gruppe erstmals im Mai aufgetaucht ist und 
seither nur acht Opfer auf ihrer Dark-Web-Leak-Site verzeichnet hat 
(einige wurden bereits entfernt, wahrscheinlich weil sie ein Lösegeld 
gezahlt haben), wurde ARRL noch nicht aufgeführt.
.......Firstmac Limited, der größte Nicht-Bank-Kreditgeber in 
Australien, ist eines der Opfer, bei dem über 500 GB gestohlener Daten 
auf der Embargo-Website veröffentlicht wurden.


https://www.pcrisk.com/removal-guides/30033-embargo-ransomware
https://www.pcrisk.com/images/stories/screenshots202405/embargo-ransomware-ransom-note.jpg



roger