ARRL hack was Ransomware aanval

GriepjeUit onlangs gepubliceerde openbare registers bleek dat ARRL het slachtoffer was van een ransomware-aanval die er uiteindelijk toe leidde dat diensten als Log Book of The World enkele weken offline waren.

Hoewel gegevens van ARRL-leden en gebruikers van ARRL-diensten niet direct door de aanval werden getroffen, bleek uit openbare gegevens dat de persoonlijke gegevens van zo’n 150 ARRL-werknemers waren aangetast.

In dit stadium is er geen bewijs dat gecompromitteerde gegevens zijn misbruikt. Het is onbekend of ARRL losgeld heeft betaald als onderdeel van de aanval.

Voor technisch geïnteresseerden: een ransomware aanval werkt als volgt.

  • Iemand in een organisatie klikt op een linkje dat b.v. leidt naar een website die op de PC van de gebruiker een stukje software installeert.
  • Dat stukje software opent een achterdeur waardoor de crimineel toegang krijgt tot de PC en/of het netwerk van de gebruiker.
  • Vervolgens wordt het netwerk verkend om te zien wat er allemaal nog meer aangesloten is,
  • De crimineel probeert zijn rechten te verhogen zodat hij toegang krijgt tot niet alleen de gegevens van de medewerker die op het linkje heeft geklikt, maar liefst tot de gegevens van de hele organisatie.
  • Daarna worden kopieën gemaakt van de bedrijfsgegevens
  • Tot slot worden de bedrijfsgegevens versleuteld en verschijnt een mededeling dat de sleutel gekocht kan worden voor een leuk bedrag.

Tussen de besmetting en het uiteindelijke versleutelen van de gegevens kunnen dagen tot wel maanden zitten. Uit de publieke records blijkt dat de besmetting al op 3 mei heeft plaatsgevonden, maar pas op 14 mei is ontdekt. De gemiddelde tijd tussen besmetting en ontdekking is overigens 193 dagen dus dit valt nog mee…

Het probleem met dit soort criminaliteit is dat je er niet bent met alleen maar een goede back-up. Je weet b.v. niet of de besmetting inmiddels ook al niet in de back-up zit, zodat bij het terugzetten van gegevens en programma’s de achterdeur ook weer wordt teruggezet. Daarnaast is er in de meeste gevallen een kopie van de bedrijfsgegevens gemaakt, zodat – als je weigert om het losgeld voor de sleutel te betalen – de crimineel zijn verdienmodel alsnog in stand zal proberen te houden door te dreigen de buitgemaakte gegevens te verkopen of publiceren als je niet betaalt.

Vandaar dat men zich afvraagt of er toch niet losgeld is betaald. Wat dan nog steeds niet de garantie geeft dat je niet alsnog verder afgeperst wordt. De toekomst zal het leren.