L'American Radio Relay League (ARRL) a finalement confirmé que certaines données de ses employés avaient été volées lors d'une attaque de ransomware en mai, initialement décrite comme un « incident grave ».

L'ARRL, l'Association nationale des radioamateurs, a déclaré dans des notifications de violation de données récemment envoyées aux personnes concernées qu'elle avait détecté « l'incident de ransomware sophistiqué » après que les attaquants ont piraté et chiffré ses systèmes informatiques le 14 mai.

Après avoir découvert la faille, l'ARRL a mis hors ligne les systèmes concernés pour contenir l'incident et a engagé des experts externes en criminalistique pour aider à évaluer l'impact de l'attaque.

Début juin, l'entreprise a également révélé que ses systèmes avaient été piratés par un « groupe cybernétique international malveillant » dans le cadre d'une « attaque réseau sophistiquée ».

« Notre enquête a déterminé que le tiers non autorisé a peut-être acquis vos informations personnelles lors de cet incident », il a dit les personnes dont les données ont été volées.

« Sachez que nous avons pris toutes les mesures raisonnables pour empêcher que vos données ne soient davantage publiées ou distribuées, que nous avons informé et que nous travaillons avec les forces de l'ordre fédérales pour enquêter.

« Les données concernées peuvent contenir vos informations personnelles, notamment votre nom, votre adresse et votre numéro de sécurité sociale. »

Dans un dépôt Contactée cette semaine par le bureau du procureur général du Maine, l'organisation affirme que cette violation de données n'a affecté que 150 employés.

Bien que l'ARRL ait déclaré qu'aucune preuve n'avait été trouvée que les informations personnelles volées avaient été utilisées à mauvais escient, elle a néanmoins décidé de fournir aux personnes touchées par cette violation de données 24 mois de surveillance d'identité gratuite via Kroll par « excès de prudence ».

L'ARRL n'a pas lié l'attaque à un gang de ransomware spécifique, mais des sources ont déclaré à BleepingComputer que l'opération de ransomware Embargo était à l'origine de cet incident.

Cependant, bien que ce groupe de ransomware soit apparu pour la première fois en mai et n'ait depuis ajouté que huit victimes à son site de fuite du dark web (certaines ayant déjà été supprimées, probablement parce qu'elles ont payé une rançon), ARRL n'a pas encore été répertorié.

L'ARRL a déclaré dans les notifications de violation qu'elle avait pris « toutes les mesures raisonnables pour empêcher que vos données ne soient davantage publiées ou distribuées », ce qui pourrait signifier qu'une rançon a été payée pour empêcher la fuite des données.

Firstmac Limited, le plus grand prêteur non bancaire d'Australie, est l'une des victimes dont plus de 500 Go de données volées ont fuité sur le site Web d'Embargo.