0
0
Los Angeles unificada School District, ou LAUSD – o segundo maior distrito dos EUA, com mais de 1.000 escolas e 6.000 alunos – confirmou esta semana que foi atingido por um ataque cibernético no fim de semana, interrompendo o acesso aos seus sistemas de TI.
Os detalhes sobre o incidente, descrito como “de natureza criminosa” e posteriormente confirmado como ransomware, permanecem vagos. Ainda não se sabe se os dados foram roubados e, embora o LAUSD tenha retomado as aulas conforme planejado na terça-feira, após o longo fim de semana do Dia do Trabalho, o impacto nas escolas ainda não está claro. A diretora de comunicações da LAUSD, Shannon Haber, não respondeu a vários pedidos de comentários.
Embora ainda não saibamos muito, vários detalhes sobre o incidente estão começando a surgir.
Vice Society assume responsabilidade
A Vice Society, um grupo de ransomware de língua russa e conhecido por atacar o setor educacional, reivindicou a responsabilidade pelo ataque de ransomware LAUSD.
A Vice Society é um grupo de ransomware de dupla extorsão, o que significa que normalmente extrai os dados confidenciais de uma vítima, além de criptografá-los. O grupo é conhecido por invadir as redes de suas vítimas explorando a vulnerabilidade do Windows PrintNightmare.
Uma revisão do site de vazamento da Vice Society ainda não lista o LAUSD, mas vários outros distritos escolares dos EUA estão atualmente listados no site, incluindo as Escolas Elmbrook de Wisconsin e o Distrito Escolar da Área da Lua no Condado de Allegheny.
O TechCrunch perguntou ao LAUSD se poderia confirmar que a Vice Society estava por trás do ataque, mas não recebeu uma resposta.
A alegação da Vice Society ocorre dias depois que o FBI e a CISA alertaram que o grupo de ransomware, que está ativo desde 2021, está “visando desproporcionalmente o setor educacional com ataques de ransomware”. Uma assessoria conjunta do governo nesta semana alerta que instituições de ensino K-12, como o LAUSD, têm sido alvos frequentes de ataques, que levaram ao acesso restrito a redes e dados, atrasos nos exames, cancelamento de dias letivos e roubo de informações pessoais pertencentes a alunos e funcionários.
Brett Callow, especialista em ransomware e analista de ameaças da Emsisoft, disse ao TechCrunch que a LAUSD é a quinquagésima entidade do setor educacional a ser atingida com ransomware somente este ano.
Resposta de LAUSD
Embora o LAUSD ainda não tenha confirmado o impacto do ataque de ransomware, o distrito disse em uma atualização em 8 de setembro que está progredindo em direção à “estabilidade operacional total” para vários serviços de TI importantes. O LAUSD não disse quais serviços estão funcionando novamente, mas disse anteriormente que alunos e professores podem não conseguir acessar e-mail, Google Drive e Schoology, um popular sistema de gerenciamento de aprendizado.
LAUSD disse que todas as credenciais comprometidas foram totalmente desativadas para proteger a integridade da rede e acrescentou que está acelerando a implementação da autenticação multifator em todo o distrito. A LAUSD estava em processo de implantação em larga escala da autenticação multifator, com o objetivo de tornar o recurso de segurança obrigatório para funcionários e contratados a partir de 12 de setembro, de acordo com a um aviso LAUSD que mais tarde foi postado no Twitter.
O superintendente Alberto M. Carvalho disse: “Este incidente foi um lembrete firme de que as ameaças à segurança cibernética representam um risco real para o nosso distrito – e distritos em todo o país”.
Vazamento de dados da dark web desmascarado
No início desta semana, surgiram relatos de que “pelo menos 23” credenciais de login de funcionários da LAUSD apareceram na dark web. As credenciais supostamente continham endereços de e-mail e senhas, e pelo menos um conjunto de credenciais teria desbloqueado uma conta para o serviço de rede privada virtual do distrito.
No entanto, em sua atualização publicada, o LAUSD disse que “credenciais de e-mail comprometidas encontradas em sites nefastos não estavam relacionadas a esse ataque, conforme atestado por agências federais de investigação”.
Uma tentativa anterior de ransomware?
O LAUSD foi alvo de um ataque de ransomware anterior em 2021, de acordo com a empresa de inteligência de ameaças Hold Security, via repórter de segurança cibernética Jeremy Kirk. Segundo a empresa, a máquina de um psicólogo escolar foi infectada com o Trickbot, um malware de motivação financeira que às vezes é usado como precursor de um ataque de ransomware.
A Hold Security diz que alertou o distrito, mas não está claro se quais ações – se houver – foram tomadas.
“LAUSD pode ter conduzido a resposta a incidentes e remediado. Mas prenunciou o que estava por vir este ano”, disse Kirkcomentando as descobertas da empresa de segurança.
FONTE: TEG6