Un equipo de ransomware que se autodenomina Vice Society ha descargado casi 300,000 archivos pertenecientes al Distrito Escolar Unificado de Los Ángeles como castigo por rechazar las demandas de que pague al grupo una tarifa considerable para recuperar los datos robados durante una reciente intrusión cibernética.
Los operadores de ransomware violan las redes de los objetivos, cifran todos sus datos y luego cobran a las víctimas un rescate por la clave de descifrado. Más recientemente, los grupos han pasado a un modelo de doble extorsión, en el que también publican los datos en la dark web a menos que las víctimas paguen un rescate para mantenerlos privados. Ya este año, 27 distritos escolares con 1.735 escuelas entre ellos han sido pirateados en incidentes de ransomware, Brett Callow, analista de amenazas de la firma de seguridad Emsisoft, dijo.
En lo que va del año, 29 escuelas postsecundarias en los EE. UU. se han visto afectadas, así como 27 distritos con 1.735 escuelas entre ellos. Al menos 37/56 incidentes involucraron robo de datos. Un buen resumen de @lorenzofb 2/3https://t.co/VFcPVmOjkh
—Brett Callow (@BrettCallow) 3 de octubre de 2022
El Distrito Escolar Unificado de Los Ángeles es el segundo distrito escolar más grande de los EE. UU., detrás del Departamento de Educación de la ciudad de Nueva York, lo que lo convierte en una especie de trofeo para los grupos de ransomware que se aprovechan de estas organizaciones.
Vice Society es un grupo de ransomware de habla rusa que surgió en los últimos años para convertirse en una amenaza, principalmente para las pequeñas y medianas empresas. El grupo se especializa en ataques de ransomware operados por humanos, a diferencia de las técnicas de ataque automatizadas preferidas por muchos de sus pares. Callow dijo en un mensaje directo que la pandilla Vice Society atacó al menos otros ocho distritos escolares, colegios y universidades de EE. UU. en lo que va de 2022.
En el pasado, utilizó vulnerabilidades críticas sin parches en dispositivos VPN de SonicWall y el día cero de Windows conocido como PrintNightmare como un punto de entrada inicial a las empresas a las que se ha dirigido. Desde entonces, se han lanzado parches para estas vulnerabilidades.
El LAUSD dijo a principios de septiembre que sufrió un ataque de ransomware que generó interrupciones en todo el distrito en el correo electrónico, los sistemas informáticos y las aplicaciones. Un par de días después, la Administración de Seguridad de Infraestructura y Ciberseguridad publicó una advertencia de que el grupo había estado “apuntando de manera desproporcionada al sector educativo”.
El viernes, los funcionarios del distrito dijeron que no tenían intención de pagar un rescate a los actores de la amenaza.
“El Distrito Unificado de Los Ángeles se mantiene firme en que los dólares deben usarse para financiar a los estudiantes y la educación”, escribieron. “Pagar un rescate nunca garantiza la recuperación completa de los datos, y el Distrito Unificado de Los Ángeles cree que es mejor gastar el dinero público en nuestros estudiantes en lugar de capitular ante un sindicato del crimen nefasto e ilícito. Continuamos avanzando hacia la estabilidad operativa total para varios servicios básicos de tecnología de la información”.
El viernes, el superintendente del LAUSD, Alberto Carvalho, fue aún más contundente en su rechazo a las demandas del grupo.
“Lo que puedo decirles es que la demanda, cualquier demanda, sería absurda”, dijo a Los Angeles Times. “Pero este nivel de exigencia fue, francamente, insultante. Y no vamos a entrar en negociaciones con ese tipo de entidad”.
La declaración del LAUSD del viernes advirtió a los empleados y familias que era probable que el grupo respondiera divulgando públicamente los datos violados.
Durante el fin de semana, eso es precisamente lo que hizo Vice Society en su sitio de nombre y vergüenza. El botín, que los investigadores de la firma de seguridad Checkpoint dijeron que incluía más de 284.000 archivos, contiene una amplia variedad de documentos, imágenes y otra documentación. Un video pretende ser parte de un informe de incidente y parece mostrar al personal del distrito monitoreando una transmisión de video y respondiendo a otros miembros del personal a través de una radio bidireccional. Otros documentos enumeran los nombres, números de Seguro Social, registros de asistencia, pasaportes no redactados y otra información confidencial de los empleados y contratistas de la escuela.
-
Listado de archivos.
-
Un video que documenta un informe de incidente.
-
Informe de personal.
-
Reporte de incidente.
Al igual que muchos municipios, los distritos escolares son particularmente vulnerables a los ataques de ransomware porque con frecuencia utilizan hardware y software obsoletos.