Todo lo que sabemos hasta ahora sobre el ataque de ransomware a las escuelas de Los Ángeles

CREDITOS
Spread the love
69 / 100

Todo lo que sabemos hasta ahora sobre el ataque de ransomware a las escuelas de Los Ángeles

Un grupo de hackers de habla rusa conocido por apuntar a las escuelas se atribuye la responsabilidad

CREDITOS

Distrito Escolar Unificado de Los Ángeles , o LAUSD, el segundo distrito más grande de los EE. UU. con más de 1,000 escuelas y 6,000 estudiantes, consiguiendo esta semana que golpeado por un ciberataque durante el fin de semana, interrumpiendo el acceso a sus sistemas de TI.

Detalles sobre el incidente, descrito como «de naturaleza criminal» y luego confirmado como Secuestro de datos , sigue siendo vago. Todavía no se sabe si los datos fueron robados, y aunque LAUSD resumió las clases según lo planeado el martes después del largo fin de semana del Día del Trabajo, el impacto en las escuelas actualmente no está claro. La directora de comunicaciones de LAUSD, Shannon Haber, no ha respondido a múltiples solicitudes de comentarios.

Si bien hay muchas cosas que aún no sabemos, están comenzando a surgir una serie de detalles sobre el incidente.

Vice Society se atribuye la responsabilidad

Vice Society, un grupo de ransomware de habla rusa y conocido por apuntar al sector educativo, se atribuyó la responsabilidad del ataque de ransomware LAUSD.

Vice Society es un grupo de ransomware de doble extorsión , lo que significa que normalmente filtra los datos confidenciales de la víctima y la cifra. Se sabe que el grupo se infiltra en las redes de sus víctimas al explotar la vulnerabilidad de Windows PrintNightmare.

Una revisión del sitio de filtración de Vice Society aún no incluye al LAUSD, pero varios otros distritos escolares de EE. UU. se incluyen actualmente en el sitio, incluidas las escuelas Elmbrook de Wisconsin y el distrito escolar del área de Moon en el condado de Allegheny.

TechCrunch le preguntó a LAUSD si pudo confirmar que Vice Society estaba detrás del ataque, pero no recibió una respuesta.

El reclamo de Vice Society se produce días después de que el FBI y CISA advirtieran que el grupo de ransomware, que ha estado activo desde 2021, está “dirigido de manera desproporcionada al sector educativo con ataques de ransomware”. Un consejo conjunto del gobierno esta semana advierte que las instituciones educativas K-12, como LAUSD, han sido blancos frecuentes de ataques, lo que ha llevado a acceso restringido a redes y datos, exámenes retrasados, días escolares cancelados y el robo de información personal perteneciente a estudiantes y personal.

Brett Callow, un experto en ransomware y analista de amenazas de Emsisoft, le dijo a TechCrunch que LAUSD es la quinta entidad del sector educativo que se ve afectada por ransomware solo este año.

Respuesta de LAUSD

Si bien LAUSD aún no ha confirmado el impacto del ataque de ransomware, el distrito dijo en una actualización el 8 de septiembre que está avanzando hacia la «estabilidad operativa total» para una serie de servicios clave de TI. LAUSD no ha dicho qué servicios están nuevamente en funcionamiento, pero anteriormente dijo que los estudiantes y los maestros no podrían acceder al correo electrónico, Google Drive y Schoology, un popular sistema de gestión del aprendizaje.

LAUSD dijo que todas las credenciales comprometidas se desactivaron por completo para proteger la integridad de la red y agregó que está acelerando la implementación de autenticación multifactor en todo el distrito. LAUSD estaba en el proceso de implementación a gran escala de autenticación de múltiples factores, con el objetivo de hacer que la característica de seguridad sea obligatoria para empleados y contratistas a partir del 12 de septiembre, según un aviso del LAUSD que luego se publicó en Gorjeo.

El superintendente Alberto M. Carvalho dijo: “Este incidente ha sido un firme recordatorio de que las amenazas a la seguridad cibernética representan un riesgo real para nuestro distrito y los distritos de todo el país”.

Fuga de datos de la web oscura desacreditada

A principios de esta semana, surgieron informes que «al menos 23» credenciales de inicio de sesión de empleados de LAUSD aparecieron en la web oscura. Según los informes, las credenciales contenían direcciones de correo electrónico y contraseñas, y se dice que al menos un conjunto de credenciales desbloqueó una cuenta para el distrito. Red Privada Virtual Servicio.

Sin embargo, en su actualización publicada, LAUSD dijo que «las credenciales de correo electrónico comprometidas que supuestamente se encontraron en sitios web nefastos no estaban relacionadas con este ataque, según lo atestiguado por las agencias federales de investigación».

¿Un intento anterior de ransomware?

LAUSD fue el objetivo de un ataque de ransomware anterior en 2021, según la empresa de inteligencia de amenazas Hold Security, a través del reportero de seguridad cibernética Jeremy Kirk . Según la empresa, la máquina de un psicólogo escolar estaba infectada con Trickbot, un Malware motivado financieramente que a veces se usa como precursor de un ataque de ransomware.

Hold Security dice que se aplicaron al distrito, pero no está claro qué acciones, si es que se tomaron algunas, se tomaron.

“LAUSD puede haber llevado a cabo una respuesta a incidentes y remediado. Pero presagiaba lo que vendría este año”. Dijo Kirk comentando los resultados de la empresa de seguridad.

 

69 / 100