{"id":20156,"date":"2024-08-23T08:51:33","date_gmt":"2024-08-23T06:51:33","guid":{"rendered":"http:\/\/www.on4cn.be\/blog_radio\/?p=20156"},"modified":"2024-08-23T08:51:33","modified_gmt":"2024-08-23T06:51:33","slug":"informations-lotw-active","status":"publish","type":"post","link":"http:\/\/www.on4cn.be\/blog_radio\/2024\/08\/23\/informations-lotw-active\/","title":{"rendered":"Informations LoTW activ\u00e9"},"content":{"rendered":"
\n
Version traduite en Fran\u00e7ais via Google Translate<\/b><\/center>

\n
<\/p>\n

Informations LoTW activ\u00e9<\/h3>\n

<\/span><\/strong><\/center><\/p>\n

\"\"<\/p>\n

Le 22\/08\/2024 <\/b><\/p>\n

( ARRL \/ 21 AO\u00dbT 2024 )<\/b><\/p>\n

\u00c0 un moment donn\u00e9, d\u00e9but mai 2024, le r\u00e9seau de syst\u00e8mes de l’ARRL a \u00e9t\u00e9 compromis par des actes de menaces (TA) utilisant des informations qu’ils avaient achet\u00e9es sur le dark web. Les TA ont acc\u00e9d\u00e9 aux syst\u00e8mes locaux du si\u00e8ge et \u00e0 la plupart des syst\u00e8mes bas\u00e9s sur le cloud. Ils ont utilis\u00e9 une grande vari\u00e9t\u00e9 de charges utiles qui ont affect\u00e9 tout, des ordinateurs de bureau et portables aux serveurs bas\u00e9s sur Windows et Linux…..<\/p>\n

Malgr\u00e9 la grande vari\u00e9t\u00e9 de configurations cibles, les TA semblaient avoir une charge utile qui h\u00e9bergerait et ex\u00e9cuterait le cryptage ou la suppression d’actifs TI bas\u00e9s sur le r\u00e9seau, ainsi que lancerait des demandes de ran\u00e7on pour chaque syst\u00e8me.<\/p>\n

Cet incident grave \u00e9tait un acte de crime organis\u00e9. L’attaque hautement coordonn\u00e9e et ex\u00e9cut\u00e9e a eu lieu aux premi\u00e8res heures du matin du 15 mai. Ce matin-l\u00e0, lorsque le personnel est arriv\u00e9, il \u00e9tait imm\u00e9diatement \u00e9vident que l’ARRL \u00e9tait devenue victime d’une vaste et sophistiqu\u00e9e attaque par ransomware. Le FBI a class\u00e9 l’attaque comme \u00ab\u00a0unique\u00a0\u00bb, car ils n’avaient jamais vu ce niveau de sophistication parmi les nombreuses autres attaques qu’ils connaissent. En moins de trois heures, une \u00e9quipe de gestion de crise a \u00e9t\u00e9 constitu\u00e9e, compos\u00e9e de la direction de l’ARRL, d’un fournisseur externe avec de vastes ressources et une exp\u00e9rience en mati\u00e8re de r\u00e9cup\u00e9ration de ransomware, d’avocats exp\u00e9riment\u00e9s dans la gestion des aspects juridiques de l’attaque, y compris l’interaction avec les autorit\u00e9s, et de notre compagnie d’assurance. Les autorit\u00e9s ont \u00e9t\u00e9 imm\u00e9diatement contact\u00e9es, ainsi que le pr\u00e9sident de l’ARRL.<\/p>\n

Les exigences de ran\u00e7on des agents d’assistance, en \u00e9change de l’acc\u00e8s \u00e0 leurs outils de d\u00e9cryptage, \u00e9taient exorbitantes. Il \u00e9tait clair qu’ils ne savaient pas, et ne se souciaient pas, qu’ils avaient attaqu\u00e9 une petite organisation 501(c)(3) aux ressources limit\u00e9es. Leurs exigences de ran\u00e7on ont \u00e9t\u00e9 consid\u00e9rablement affaiblies par le fait qu’ils n’avaient acc\u00e8s \u00e0 aucune donn\u00e9e compromettante. Il \u00e9tait \u00e9galement clair qu’ils pensaient que l’ARRL disposait d’une large couverture d’assurance qui couvrirait un paiement de ran\u00e7on de plusieurs millions de dollars. Apr\u00e8s des jours de n\u00e9gociations tendues et de man\u0153uvres risqu\u00e9es, l’ARRL a accept\u00e9 de payer une ran\u00e7on d’un million de dollars<\/b>. Ce paiement, ainsi que le co\u00fbt de la restauration, a \u00e9t\u00e9 largement couvert par notre police d’assurance.<\/p>\n

Depuis le d\u00e9but de l’incident, le conseil d’administration de l’ARRL s’est r\u00e9uni chaque semaine lors d’une r\u00e9union sp\u00e9ciale continue pour pr\u00e9senter des rapports complets sur les progr\u00e8s et offrir une assistance. Lors des premi\u00e8res r\u00e9unions, il y avait des d\u00e9tails importants \u00e0 couvrir, et le conseil d’administration s’est engag\u00e9 de mani\u00e8re r\u00e9fl\u00e9chie, a pos\u00e9 des questions importantes et a pleinement soutenu l’\u00e9quipe du si\u00e8ge pour que les efforts de restauration puissent continuer d’avancer. Les mises \u00e0 jour des membres ont \u00e9t\u00e9 publi\u00e9es sur une seule page sur le web et post\u00e9es sur Internet dans de nombreux forums et groupes. L’ARRL a travaill\u00e9 en \u00e9troite collaboration avec des professionnels ayant une vaste exp\u00e9rience des questions de ransomware pour chaque publication. Il est important de comprendre que les agents techniques surveillaient de pr\u00e8s l’ARRL pendant que nous n\u00e9gociions. Selon les conseils experts que nous recevions, nous ne pouvions rien communiquer publiquement d’informatif, d’utile ou de potentiellement antagoniste envers les agents techniques pendant cette p\u00e9riode.<\/p>\n

Aujourd’hui, la plupart des syst\u00e8mes ont \u00e9t\u00e9 restaur\u00e9s ou attendent que les interfaces soient \u00e0 nouveau en ligne pour les interconnecter. Pendant que nous \u00e9tions en mode de restauration, nous avons \u00e9galement travaill\u00e9 \u00e0 simplifier l’infrastructure autant que possible. Nous anticipons qu’il pourrait falloir encore un ou deux mois pour terminer la restauration selon les nouvelles directives d’infrastructure et les nouvelles normes.<\/p>\n

La plupart des avantages pour les membres de l’ARRL sont rest\u00e9s op\u00e9rationnels pendant l’attaque. L’un des services qui ne l’\u00e9tait pas \u00e9tait le Logbook of The World (LoTW), qui est l’un de nos avantages pour les membres les plus populaires. Les donn\u00e9es de LoTW n’ont pas \u00e9t\u00e9 affect\u00e9es par l’attaque et une fois que l’environnement a \u00e9t\u00e9 pr\u00eat pour permettre \u00e0 nouveau l’acc\u00e8s public aux serveurs bas\u00e9s sur le r\u00e9seau de l’ARRL, nous avons remis LoTW en service. Le fait que LoTW ait pris moins de 4 jours pour r\u00e9soudre un arri\u00e9r\u00e9 qui d\u00e9passait parfois les 60 000 enregistrements \u00e9tait exceptionnel.<\/p>\n

Lors de la deuxi\u00e8me r\u00e9union du conseil d’administration de l’ARRL en juillet, le conseil a vot\u00e9 pour approuver un nouveau comit\u00e9, le Comit\u00e9 consultatif sur la technologie de l’information. Il sera compos\u00e9 de membres du personnel de l’ARRL, de membres du conseil ayant une exp\u00e9rience av\u00e9r\u00e9e en TI, et d’autres membres de l’industrie de la TI actuellement employ\u00e9s comme experts en la mati\u00e8re dans certains domaines. Ils aideront \u00e0 analyser et \u00e0 conseiller sur les prochaines \u00e9tapes \u00e0 suivre concernant les TI de l’ARRL dans les limites financi\u00e8res de l’organisation.<\/p>\n

Nous vous remercions de votre patience pendant que nous traversons ce processus. Les courriels de soutien moral et les offres d’expertise en TI ont \u00e9t\u00e9 bien accueillis par l’\u00e9quipe. Bien que nous ne soyons pas encore compl\u00e8tement sortis d’affaire et que nous travaillions toujours \u00e0 la restauration de serveurs mineurs qui r\u00e9pondent \u00e0 des besoins internes (tels que divers services de messagerie \u00e9lectronique comme le courrier massif et certains reflecteurs internes), nous sommes satisfaits des progr\u00e8s r\u00e9alis\u00e9s et de l’incroyable d\u00e9vouement du personnel et des consultants qui continuent de travailler ensemble pour mener cet incident \u00e0 une conclusion r\u00e9ussie.<\/p>\n