Informations sur l’attaque cybernétique de l’ARRL
Le 22/08/2024
Début mai 2024, le réseau de systèmes de l’ARRL a été compromis par des acteurs malveillants (TAs) utilisant des informations qu’ils avaient achetées sur le dark web. Les TAs ont accédé aux systèmes du siège ainsi qu’à la plupart des systèmes basés sur le cloud. Ils ont utilisé une grande variété de charges utiles affectant tout, des ordinateurs de bureau et portables aux serveurs basés sur Windows et Linux. Malgré la diversité des configurations cibles, les TAs semblaient disposer d’une charge utile capable d’héberger et d’exécuter le cryptage ou la suppression des actifs informatiques du réseau, ainsi que de lancer des demandes de rançon, pour chaque système.
Cet incident grave était un acte de crime organisé. L’attaque, hautement coordonnée et exécutée, a eu lieu tôt le matin du 15 mai. Ce matin-là, à l’arrivée du personnel, il est apparu immédiatement que l’ARRL était devenue la victime d’une attaque de ransomware étendue et sophistiquée. Le FBI a qualifié l’attaque d' »unique » car ils n’avaient jamais vu ce niveau de sophistication parmi les nombreuses autres attaques qu’ils ont rencontrées. En moins de 3 heures, une équipe de gestion de crise a été constituée, composée de la direction de l’ARRL, d’un prestataire externe disposant de vastes ressources et d’une expérience dans la récupération de ransomwares, d’avocats spécialisés dans la gestion des aspects juridiques de l’attaque, y compris les relations avec les autorités, et de notre compagnie d’assurance. Les autorités ainsi que le président de l’ARRL ont été contactés immédiatement.
Les demandes de rançon des TAs, en échange de l’accès à leurs outils de décryptage, étaient exorbitantes. Il était clair qu’ils ne savaient pas, et ne se souciaient pas, qu’ils avaient attaqué une petite organisation 501(c)(3) aux ressources limitées. Leurs demandes de rançon ont été considérablement affaiblies par le fait qu’ils n’avaient pas accès à des données compromettantes. Il était également clair qu’ils croyaient que l’ARRL avait une couverture d’assurance étendue qui couvrirait un paiement de rançon de plusieurs millions de dollars. Après des jours de négociations tendues et de manœuvres, l’ARRL a accepté de payer une rançon d’un million de dollars. Ce paiement, ainsi que le coût de la restauration, a été largement couvert par notre police d’assurance.
Dès le début de l’incident, le conseil d’administration de l’ARRL s’est réuni chaque semaine lors d’une réunion spéciale continue du conseil pour obtenir des rapports d’avancement complets et offrir son assistance. Lors des premières réunions, il y avait des détails importants à couvrir, et le conseil était attentivement engagé, posait des questions importantes, et soutenait pleinement l’équipe du siège pour que les efforts de restauration avancent. Les mises à jour pour les membres ont été publiées sur une seule page du site web et ont été diffusées sur de nombreux forums et groupes sur Internet. L’ARRL a travaillé en étroite collaboration avec des professionnels ayant une grande expérience dans les questions de ransomwares pour chaque publication. Il est important de comprendre que les TAs surveillaient de près l’ARRL pendant que nous négociions. Sur la base des conseils d’experts que nous recevions, nous ne pouvions pas communiquer publiquement quoi que ce soit de pertinent, d’utile ou potentiellement antagoniste pour les TAs durant cette période.
Aujourd’hui, la plupart des systèmes ont été restaurés ou attendent que les interfaces reviennent en ligne pour les interconnecter. Alors que nous sommes en mode de restauration, nous travaillons également à simplifier l’infrastructure dans la mesure du possible. Nous prévoyons qu’il pourrait falloir encore un ou deux mois pour compléter la restauration selon les nouvelles lignes directrices et les nouvelles normes d’infrastructure.
La plupart des avantages pour les membres de l’ARRL sont restés opérationnels pendant l’attaque. Un qui ne l’était pas était le Logbook of The World (LoTW), qui est l’un de nos avantages les plus populaires pour les membres. Les données de LoTW n’ont pas été impactées par l’attaque et une fois l’environnement prêt à permettre à nouveau l’accès public aux serveurs de l’ARRL, nous avons remis LoTW en service. Le fait que LoTW ait pris moins de 4 jours pour passer au travers d’un arriéré qui dépassait parfois 60 000 journaux était remarquable.
Lors de la deuxième réunion du conseil d’administration de l’ARRL en juillet, il a été voté l’approbation d’un nouveau comité, le Comité Consultatif en Technologie de l’Information. Celui-ci sera composé de membres du personnel de l’ARRL, de membres du conseil d’administration ayant une expérience avérée en TI, et de membres supplémentaires de l’industrie TI qui sont actuellement employés comme experts en la matière dans certains domaines. Ils aideront à analyser et à conseiller sur les prochaines étapes à suivre en matière de TI pour l’ARRL, en fonction des moyens financiers disponibles pour l’organisation.
Nous vous remercions pour votre patience pendant que nous naviguions à travers cette situation. Les e-mails de soutien moral et les offres d’expertise en TI ont été bien accueillis par l’équipe. Bien que nous ne soyons pas encore complètement sortis d’affaire et que nous travaillions encore à restaurer des serveurs mineurs qui servent des besoins internes (comme divers services de messagerie électronique tels que les mails en masse et certains réflecteurs internes), nous sommes satisfaits des progrès réalisés et de l’incroyable dévouement du personnel et des consultants qui continuent à travailler ensemble pour mener cet incident à une conclusion réussie.
Info de la Source * ICI
