Un grupo de hackers de habla rusa conocido por apuntar a las escuelas se atribuye la responsabilidad
Unificado de Los Ángeles School District, o LAUSD, el segundo distrito más grande de los EE. UU. con más de 1000 escuelas y 6000 estudiantes, confirmó esta semana que sufrió un ataque cibernético durante el fin de semana, lo que interrumpió el acceso a sus sistemas de TI.
Los detalles sobre el incidente, descrito como «de naturaleza criminal» y luego confirmado como ransomware, siguen siendo vagos. Todavía no se sabe si los datos fueron robados, y aunque LAUSD reanudó las clases según lo planeado el martes después del largo fin de semana del Día del Trabajo, el impacto en las escuelas actualmente no está claro. La directora de comunicaciones de LAUSD, Shannon Haber, no ha respondido a múltiples solicitudes de comentarios.
Si bien hay muchas cosas que aún no sabemos, están comenzando a surgir una serie de detalles sobre el incidente.
Vice Society se atribuye la responsabilidad
Vice Society, un grupo de ransomware de habla rusa y conocido por apuntar al sector educativo, se atribuyó la responsabilidad del ataque de ransomware LAUSD.
Vice Society es un grupo de ransomware de doble extorsión, lo que significa que normalmente filtra los datos confidenciales de la víctima y los cifra. Se sabe que el grupo se infiltra en las redes de sus víctimas al explotar la vulnerabilidad de Windows PrintNightmare.
Una revisión del sitio de filtración de Vice Society aún no incluye al LAUSD, pero varios otros distritos escolares de EE. UU. se incluyen actualmente en el sitio, incluidas las escuelas Elmbrook de Wisconsin y el distrito escolar del área de Moon en el condado de Allegheny.
TechCrunch le preguntó a LAUSD si podía confirmar que Vice Society estaba detrás del ataque, pero no recibió una respuesta.
El reclamo de Vice Society se produce días después de que el FBI y CISA advirtieran que el grupo de ransomware, que ha estado activo desde 2021, está “dirigido de manera desproporcionada al sector educativo con ataques de ransomware”. Un aviso conjunto del gobierno esta semana advierte que las instituciones educativas K-12, como LAUSD, han sido objetivos frecuentes de ataques, lo que ha llevado a acceso restringido a redes y datos, exámenes retrasados, días escolares cancelados y el robo de información personal perteneciente a los estudiantes. y personal.
Brett Callow, un experto en ransomware y analista de amenazas de Emsisoft, le dijo a TechCrunch que LAUSD es la quincuagésima entidad del sector educativo que se ve afectada por ransomware solo este año.
Respuesta de LAUSD
Si bien LAUSD aún no ha confirmado el impacto del ataque de ransomware, el distrito dijo en una actualización el 8 de septiembre que está avanzando hacia la «estabilidad operativa total» para una serie de servicios clave de TI. LAUSD no ha dicho qué servicios están nuevamente en funcionamiento, pero anteriormente dijo que los estudiantes y los maestros podrían no poder acceder al correo electrónico, Google Drive y Schoology, un popular sistema de gestión del aprendizaje.
LAUSD dijo que todas las credenciales comprometidas se desactivaron por completo para proteger la integridad de la red y agregó que está acelerando la implementación de la autenticación de múltiples factores en todo el distrito. LAUSD estaba en el proceso de implementación a gran escala de autenticación de múltiples factores, con el objetivo de hacer que la función de seguridad sea obligatoria para empleados y contratistas a partir del 12 de septiembre, según a un aviso del LAUSD que luego se publicó en Twitter.
El superintendente Alberto M. Carvalho dijo: “Este incidente ha sido un firme recordatorio de que las amenazas a la seguridad cibernética representan un riesgo real para nuestro distrito y los distritos de todo el país”.
Fuga de datos de la web oscura desacreditada
A principios de esta semana, surgieron informes de que «al menos 23» credenciales de inicio de sesión de empleados de LAUSD aparecieron en la web oscura. Según los informes, las credenciales contenían direcciones de correo electrónico y contraseñas, y se dice que al menos un conjunto de credenciales desbloqueó una cuenta para el servicio de red privada virtual del distrito.
Sin embargo, en su actualización publicada, LAUSD dijo que «las credenciales de correo electrónico comprometidas que supuestamente se encontraron en sitios web nefastos no estaban relacionadas con este ataque, según lo atestiguado por las agencias federales de investigación».
¿Un intento anterior de ransomware?
LAUSD fue el objetivo de un ataque de ransomware anterior en 2021, según la empresa de inteligencia de amenazas Hold Security, a través de reportero de seguridad cibernética Jeremy Kirk. Según la compañía, la máquina de un psicólogo escolar se infectó con Trickbot, un malware con fines financieros que a veces se usa como precursor de un ataque de ransomware.
Hold Security dice que advirtió al distrito, pero no está claro qué acciones, si es que se tomaron algunas, se tomaron.
“LAUSD puede haber llevado a cabo una respuesta a incidentes y remediado. Pero presagiaba lo que vendría este año”. dijo Kirkcomentando los hallazgos de la empresa de seguridad.