SU.HAMRADIO-------------- < Пред. | След. > -- < @ > -- < Сообщ. > -- < Эхи > --
 Nп/п : 87 из 100
 От   : Nil A                               2:5015/46         05 июн 25 22:54:28
 К    : Vladimir Pavlenko                                     05 июн 25 23:28:01
 Тема : LoTW ransomware incident
----------------------------------------------------------------------------------
                                                                                 
@MSGID: 2:5015/46 6841fd49
 @REPLY: 2:5019/41.1 6841e013
 @CHRS: CP866 2
 @TZUTC: 0300
 @TID: hpt/lnx 1.9
* Originally in su.hamradio
* Crossposted in nino.046.local
Hello, Vladimir!

Thursday June 05 2025 21:18, from Vladimir Pavlenko -> Nil A:

 VP> ARRL LoTW в прошлом году взломали. Hу как взломали.... на
  VP> шифровальщика базы попали. 1,5 млн долларов выкупа заплатили. ФБР
  VP> привлекали. Засекретили. Потом сами же на qrz.com все написали что
  VP> случилось.
 Они на сайте новость разместили от августа 2024
https://www.arrl.org/news/arrl-it-security-incident-report-to-members, тогда всё рассекретилось.
 Хотя всё случилось 15го мая. 16 мая уже висела "serious incident
involving access" и доступа не было к базе.
 22го мая они заплатили миллион через Monero, а не полтора (см
ссылку выше). Причём это было покрыто из средств киберстрахования. Chubb
Group страховщик, сумму снизил с 2.1 миллиона до одного.
1го июля они восстановились.

 Как их хакнули? Утекла в даркнет учётка RDP одного из сотрудников в
апреле 2024. Возможно фишинговый пароль, который использовался ещё много где
и давно. Их сервак Windows Server 2016 торчит наружу с открытым RDP,
где только логин/пароль, без двухфазной авторизации. Далее, они за полчаса
расшифровали пароль доменного админа (Mimikatz и через LSASS память). Дальше они
им воткнули LockBit 3.0

 Немного технических деталей про LoTW базу, если интересно
https://www.eqsl.cc/qslcard/LOTWSpec.pdf
 Сама база на PostreSQL 14 на физическом кластере из 4х нод. Больше
1.6 миллиарда QSO записей, примерно 165тыс активных юзеров. Это примерно
18ТБ данных включая индексы.
 Клиенты идут по HTTPS REST API, на сервере их встречает Apache +
Perl FastCGI (такое вот старьё). Дальше на C самописный демон lotw-queue,
который кладёт в очередь RabbitMQ.
 Фронтэнд у них на Drupal 9 для статики, и PHP7 для генерации
страниц, который ещё и к FastCGI ходит.

Best Regards, Nil
--- GoldED+/LNX 1.1.5-b20240306
 * Origin: ChatGPT can make mistakes. Check important info. (2:5015/46)
SEEN-BY: 50/109 301/1 341/66 450/1024 463/68 4500/1
5000/111 5001/100 5015/42
 SEEN-BY: 5015/46 120 255 5019/40 5020/113 545 715
830 846 848 1042 4441 12000
 SEEN-BY: 5022/128 5030/49 115 1081 1474 1900
5049/1 5053/51 58 5058/104
 SEEN-BY: 5060/900 5061/133 5083/1 444 6035/66
6078/80
 @PATH: 5015/46 5020/1042 4441


   GoldED+ VK   │                                                 │   09:55:30    
                                                                                
В этой области больше нет сообщений.

Остаться здесь
Перейти к списку сообщений
Перейти к списку эх