L’American Radio Relay League (ARRL) a confirmé avoir payé une rançon de 1 million de dollars pour obtenir un déchiffreur afin de restaurer les systèmes cryptés lors d’une attaque de ransomware en mai.
Après avoir découvert l’incident, l’Association nationale des radioamateurs a mis les systèmes touchés hors ligne pour contenir la violation. Un mois plus tard, il a déclaré que son réseau avait été piraté par un « cybergroupe international malveillant » lors d’une « attaque de réseau sophistiquée ». »
ARRL a ensuite alerté les personnes touchées via des lettres de notification de violation de données qu’elle avait détecté un « incident de ransomware sophistiqué » le 14 mai après le cryptage de ses systèmes informatiques. Dans un dossier déposé en juillet auprès du Bureau du procureur général du Maine, ARRL a déclaré que la violation de données qui en résultait n’affectait que 150 employés.
Bien que l’organisation n’ait pas encore lié l’attaque à une opération de ransomware spécifique, des sources ont déclaré à Breachtrace que le gang de ransomware Embargo était à l’origine de la violation.
ARRL a également déclaré dans les notifications de violation qu’ils avaient déjà pris « toutes les mesures raisonnables pour empêcher [..] les données d’être publiées ou distribuées », ce qui a été interprété à l’époque comme une confirmation voilée qu’une rançon a été ou sera probablement payée.
rançon de 1 million de dollars couverte par une assurance
Mercredi, ARRL a révélé qu’elle avait en effet payé une rançon aux attaquants non pas pour empêcher la fuite de données volées en ligne, mais pour obtenir un outil de décryptage permettant de restaurer les systèmes impactés lors de l’attaque du matin du 15 mai.
« Les demandes de rançon du TAS, en échange de l’accès à leurs outils de décryptage, étaient exorbitantes. Il était clair qu’ils ne savaient pas, et s’en fichaient, qu’ils avaient attaqué une petite organisation 501(c)(3) avec des ressources limitées », a-t-il déclaré dans un communiqué publié hier.
« Leurs demandes de rançon ont été considérablement affaiblies par le fait qu’ils n’avaient accès à aucune donnée compromettante. Il était également clair qu’ils pensaient qu’ARRL avait une couverture d’assurance étendue qui couvrirait un paiement de rançon de plusieurs millions de dollars, »
« Après des jours de négociations tendues et d’accalmie, ARRL a accepté de payer une rançon de 1 million de dollars. Ce paiement, ainsi que le coût de la restauration, ont été en grande partie couverts par notre police d’assurance. »
ARRL indique que la plupart des systèmes ont déjà été restaurés et prévoit qu’il faudra jusqu’à deux mois pour ramener tous les serveurs affectés (principalement des serveurs mineurs à usage interne) sous « de nouvelles directives d’infrastructure et de nouvelles normes. »