Beveiligingsincident bij de ARRL – een analyse van acties en reacties
Op 21 augustus 2024 heeft de ARRL, de Amerikaanse Amateurradio organisatie, een bericht uitgestuurd over het IT beveiligingsincident dat eerder dit jaar geruime tijd verschillende ARRL systemen lam heeft weten te leggen.
Het is een duidelijke analyse van wat er gebeurt is en hoe men dit aangepakt heeft. We willen dit graag met onze achterban delen.
Het beveiligingsincident begon op 15 mei 2024
Ergens begin mei 2024 werd het ARRL-systemennetwerk gecompromitteerd door dreigingsactoren. Dit wisten ze te realiseren met behulp van informatie die ze op het Dark web hadden gekocht. De dreigingsactoren kregen toegang tot de systemen van het hoofdkwartier op locatie en de meeste Cloud gebaseerde systemen. Ze gebruikten een grote verscheidenheid aan payloads. En deze waren van invloed op alles van desktops en laptops tot Windows- en Linux-servers. Ondanks de grote verscheidenheid aan doelconfiguraties, leken de dreigingsactoren een payload te hebben die voor elk systeem de versleuteling of verwijdering van netwerkgebaseerde IT-middelen hostte en uitvoerde. Die zelfde payload zorgde ook voor het eisen van losgeld.
Dit ernstige beveiligingsincident was een daad van georganiseerde misdaad. De goed gecoördineerde en uitgevoerde aanval vond plaats in de vroege ochtenduren van 15 mei. Toen het personeel die ochtend arriveerde, was het meteen duidelijk dat de ARRL het slachtoffer was geworden van een uitgebreide en geraffineerde ransomware-aanval. De FBI categoriseerde de aanval als “uniek”. Ze hadden dit geavanceerde niveau nog niet hadden gezien onder de vele andere aanvallen waar ze ervaring mee hebben. Binnen 3 uur was er een crisismanagementteam samengesteld. Dit team bestond uit het ARRL-management, een externe leverancier met uitgebreide middelen en ervaring op het gebied van herstel van ransomware, advocaten die ervaring hadden met het beheren van de juridische aspecten van de aanval, inclusief de contacten met de autoriteiten, en onze verzekeringsmaatschappij. Er werd onmiddellijk contact opgenomen met de autoriteiten en met de voorzitter van de ARRL.
Exorbitante losgeldeisen
De losgeldeisen van de dreigingsactoren, in ruil voor toegang tot hun decoderingstools, waren exorbitant. Het was duidelijk dat ze niet wisten dat ze een kleine organisatie met beperkte middelen hadden aangevallen. En het kon ze ook niet schelen. Hun losgeldeisen werden dramatisch afgezwakt door het feit dat ze geen toegang hadden tot compromitterende gegevens. Het was ook duidelijk dat ze geloofden dat de ARRL een uitgebreide verzekering had die een betaling van miljoenen losgeld zou dekken. Na dagen van gespannen onderhandelingen en touwtrekkerij stemde ARRL ermee in om een losgeld van $1 miljoen te betalen. Die betaling werd, samen met de kosten van het herstel, grotendeels gedekt door onze verzekeringspolis.
Vanaf het begin van het incident kwam het ARRL-bestuur wekelijks bijeen via een doorlopende speciale bestuursvergadering voor volledige voortgangsrapporten en om hulp aan te bieden. In de eerste paar vergaderingen waren er belangrijke details die behandeld moesten worden. En het bestuur was nauw betrokken, stelde belangrijke vragen en steunde het team op het hoofdkwartier volledig om de herstelinspanningen op gang te houden. Updates van leden werden op een enkele pagina op de website geplaatst. En deze updates werden ook op veel forums en groepen op het internet gedeeld. ARRL werkte voor elke post nauw samen met professionals die veel ervaring hebben met ransomware. Het is belangrijk om te begrijpen dat de dreigingsactoren de ARRL onder een vergrootglas legden toen we aan het onderhandelen waren. Gebaseerd op het advies van de experts dat we kregen, konden we gedurende deze periode niets informatiefs, nuttigs of potentieel antagonistisch naar de dreigingsactoren communiceren.
De meeste systemen zijn hersteld
Vandaag zijn de meeste systemen hersteld of wachten we op interfaces die weer online komen om ze met elkaar te verbinden. Terwijl we ons in de herstelmodus bevonden, hebben we ook gewerkt om de infrastructuur zoveel mogelijk te vereenvoudigen. We verwachten dat het nog een maand of twee kan duren om het herstel te voltooien onder de nieuwe infrastructuurrichtlijnen en nieuwe standaarden.
De meeste ARRL ledenvoordelen bleven operationeel tijdens de aanval. Eén daarvan was Logbook of The World (LoTW), één van onze populairste ledenvoordelen. De gegevens van LoTW werden niet beïnvloed door de aanval. En zodra de omgeving weer klaar was om publieke toegang tot ARRL netwerkservers mogelijk te maken, hebben we LoTW weer in gebruik genomen. Het feit dat LoTW minder dan 4 dagen nodig had om een achterstand van soms meer dan 60.000 logs weg te werken, was uitstekend.
Een nieuwe IT adviescommissie
Tijdens de tweede ARRL bestuursvergadering in juli stemde het bestuur voor de goedkeuring van een nieuw comité, het Information Technology Advisory Committee. Deze zal bestaan uit ARRL personeel, bestuursleden met aantoonbare ervaring in IT, en extra leden uit de IT industrie die momenteel werkzaam zijn als materiedeskundigen in een aantal gebieden. Zij zullen helpen bij het analyseren van en adviseren over toekomstige stappen die genomen moeten worden met ARRL IT binnen de financiële middelen die beschikbaar zijn voor de organisatie.
We danken jullie voor jullie geduld terwijl we door dit beveiligingsincident heen navigeerden. De e-mails met morele steun en aanbiedingen van IT-expertise werden goed ontvangen door het team. Hoewel we er nog niet helemaal uit zijn en we nog steeds bezig zijn met het herstellen van kleine servers die interne behoeften dienen (zoals verschillende e-maildiensten zoals bulkmail en sommige interne reflectors), zijn we blij met de vooruitgang die is geboekt en voor de ongelooflijke toewijding van het personeel en de consultants die blijven samenwerken om dit incident tot een succesvol einde te brengen.
ARRL – The National Association for Amateur Radio
VERON
