Los colegios y escuelas son un gran objetivo para los ciberdelincuentes, por lo que el hecho de que una pandilla de ransomware pirateara una universidad en Virginia el mes pasado no es exactamente sorprendente. Qué es sorprendente es lo que hizo la banda de ransomware a continuación. En un movimiento audaz, el pandilla secuestrado el sistema de comunicaciones de emergencia de la escuela, usándolo para enviar spam a estudiantes y profesores con mensajes SMS amenazantes y presumir de su reciente victoria en piratería.
La víctima desafortunada en este caso, la Universidad de Bluefield, es una universidad bautista privada ubicada en occidental Virginia. El 30 de abril, Bluefield reveló a los estudiantes y profesores que había sido pirateado, pero afirmó que aún no veía ninguna evidencia de «fraude financiero o robo de identidad» como resultado del incidente. Para no quedarse atrás, la pandilla responsable del hackeo, un grupo conocido como “Avos” (o “AvosLocker”)— decidió poner su granito de arena.
El 1 de mayo, aproximadamente un día después de que Bluefield revelara el episodio de piratería, Avos aparentemente usó su acceso a la red de la escuela. tomar el control de su sistema de transmisión de emergencia. Bluefield utiliza un sistema denominado «RamAlert», que se describe como un «sistema inalámbrico de notificación de emergencia creado en un esfuerzo por mejorar la comunicación con los estudiantes, padres, profesores y personal durante tiempos de crisis en el campus». Durante la reciente crisis que supuso el ataque del ransomware Avos, no eran los administradores quienes tenían el control del sistema, sino los piratas informáticos, quienes lo usaron para notificar a los estudiantes y profesores por igual que la red de la universidad había sido pirateada oficialmente y sus datos habían sido robados. Un mensaje enviado a los asistentes al campus decía:
“¡Hola estudiantes de la Universidad de Bluefield! Somos Avoslocker Ransomwar. Hackeamos la red de la universidad para extraer archivos de 1,2 TB… Tenemos datos de admisión de miles de estudiantes. Su información personal corre el riesgo de filtrarse en el blog darkweb”.
“¡NO PERMITAN que la Universidad mienta sobre la gravedad del ataque! Como prueba, filtramos una muestra el lunes 1 de mayo de 2023 a las 18:00:00 GMT (2:00:00 p. m.)».
La pandilla también dijo que “seguiría atacando [the school] si el presidente de BU no paga”.
Después del incidente, Bluefield lanzó otra declaración reconociendo que Avos había «impactado nuestro sistema de alerta masiva, RAMAlert» y advirtiendo a los estudiantes que no «hagan clic en ningún enlace proporcionado por el individuo ni respondan».
Este es un giro de los acontecimientos bastante inusual y un movimiento bastante teatral por parte de la banda de ransomware Avos. Claramente fue un movimiento diseñado para intimidar a los administradores escolares y acobardarlos para que cedieran a las demandas de la pandilla.
Se podría decir que es parte de un patrón más amplio en el que las pandillas de ransomware se han vuelto más audaces y creativas con la forma en que ejecutan los ataques. Cada vez más, las pandillas parecen estar encontrando nuevas formas de intimidar a las víctimas, en un esfuerzo por obtener un pago de rescate exitoso. Otro ejemplo de esto es un att recientereconocer sobre el sistema de escuelas públicas de Minneapolis en que una pandilla filtró datos psicológicos de estudiantes confidenciales a la web y promovido agresivamente el material en los canales tradicionales de las redes sociales. Al igual que el incidente de Bluefield, ese mostró a las pandillas usando lo que estaba a su disposición para hacer que pagar a la pandilla pareciera una opción atractiva.