Die American Radio Relay League (ARRL) hat bestätigt, dass sie ein Lösegeld in Höhe von $1 Million gezahlt hat, um ein Entschlüsselungsprogramm zu erhalten, mit dem die im Mai durch einen Ransomware-Angriff verschlüsselten Systeme wiederhergestellt werden können.
Nachdem der Vorfall entdeckt worden war, nahm die National Association for Amateur Radio die betroffenen Systeme vom Netz, um die Sicherheitslücke zu schließen. Einen Monat später teilte sie mit, dass ihr Netzwerk von einer "böswilligen internationalen Cybergruppe" in einem "ausgeklügelten Netzwerkangriff" gehackt worden sei.
Später informierte ARRL die betroffenen Personen in einem Schreiben über die Datenschutzverletzung, dass am 14. Mai ein "ausgeklügelter Ransomware-Vorfall" festgestellt wurde, nachdem die Computersysteme verschlüsselt worden waren. In einer Eingabe an das Büro des Generalstaatsanwalts von Maine im Juli erklärte ARRL, dass nur 150 Mitarbeiter von der Datenverletzung betroffen waren.
Während die Organisation den Angriff noch nicht mit einer bestimmten Ransomware-Operation in Verbindung gebracht hat, haben Quellen gegenüber BleepingComputer erklärt, dass die Embargo-Ransomware-Bande hinter dem Einbruch steckt.
ARRL erklärte in der Meldung über die Sicherheitsverletzung auch, dass sie bereits "alle angemessenen Schritte unternommen haben, um zu verhindern, dass [...] die Daten weiter veröffentlicht oder verbreitet werden", was damals als versteckte Bestätigung dafür interpretiert wurde, dass wahrscheinlich ein Lösegeld gezahlt wurde oder wird.
$1 Million Lösegeld durch Versicherung gedeckt
Am Mittwoch gab ARRL bekannt, dass es tatsächlich ein Lösegeld an die Angreifer gezahlt hat, nicht um zu verhindern, dass gestohlene Daten ins Internet gelangen, sondern um ein Entschlüsselungsprogramm zu erhalten, mit dem die während des Angriffs am Morgen des 15. Mai beschädigten Systeme wiederhergestellt werden können.
"Die Lösegeldforderungen der TAs im Austausch für den Zugang zu ihren Entschlüsselungstools waren exorbitant. Es war klar, dass sie nicht wussten und sich nicht darum kümmerten, dass sie eine kleine 501(c)(3)-Organisation mit begrenzten Ressourcen angegriffen hatten", hieß es in einer gestern veröffentlichten Erklärung.
"Ihre Lösegeldforderungen wurden durch die Tatsache, dass sie keinen Zugang zu kompromittierenden Daten hatten, drastisch abgeschwächt. Es war auch klar, dass sie glaubten, ARRL habe einen umfassenden Versicherungsschutz, der eine Lösegeldzahlung in Höhe von mehreren Millionen Dollar abdecken würde,"
"Nach tagelangen, angespannten Verhandlungen stimmte ARRL der Zahlung eines Lösegelds in Höhe von $1 Million zu. Diese Zahlung sowie die Kosten für die Wiederherstellung wurden größtenteils durch unsere Versicherungspolice gedeckt.
ARRL sagt, dass die meisten Systeme bereits wiederhergestellt wurden und erwartet, dass es bis zu zwei Monate dauern wird, um alle betroffenen Server (meist kleinere Server für den internen Gebrauch) unter "neuen Infrastrukturrichtlinien und neuen Standards" wiederherzustellen.
