La violación del Distrito Escolar Unificado de Los Ángeles (LAUSD) expone una vulnerabilidad de contraseña a medida que los ciberdelincuentes continúan usando credenciales comprometidas para aumentar los ataques de ransomware en la educación.

La violación del LAUSD del Día del Trabajo causó graves interrupciones en el correo electrónico, las computadoras y las aplicaciones en todo el condado. No está claro qué datos sobre los estudiantes o el personal extrajeron los atacantes.

Existe una tendencia significativa hacia los ataques de ransomware en la educación, un área muy sensible. La naturaleza temporal de los estudiantes hace que las cuentas y las contraseñas sean vulnerables a los ataques. El entorno abierto que crean las escuelas para fomentar la exploración de los estudiantes y la relativa ingenuidad de la industria en lo que respecta a la ciberseguridad están impulsando los ataques.

La rotura en LAUSD y lo que sucedió después.

Cuatro días después del hackeo, se informó que en los meses previos al ataque, los perpetradores habían proporcionado las credenciales de la cuenta de red del distrito escolar para venderlas en la dark web. Las credenciales robadas incluían una dirección de correo electrónico que terminaba en @lausd.net como nombre de usuario y contraseña comprometidos.

LAUSD respondió en una actualización que "se centró en los inicios de sesión de correo electrónico pirateados que se encuentran en sitios web maliciosos no relacionados con este ataque, como lo demuestran los investigadores federales". El informe de violación de LAUSD confirma que el FBI y CISA están investigando. El FBI y CISA, así como la evidencia relacionada con el hackeo, confirman que los atacantes probablemente usaron credenciales pirateadas para obtener acceso inicial a la red de LAUSD para obtener el control. Las contraseñas son cada vez más privilegiadas. El FBI y CISA supervisan el grupo de ransomware Vice Society, que admitió un ataque TTP, que implica "elevar privilegios y luego acceder a una cuenta de administrador de dominio". El equipo de ransomware usó scripts para cambiar las contraseñas de las cuentas en línea para que la organización de la víctima no pudiera reparar la brecha.

Como se explica en el aviso del FBI y CISA, "es probable que los miembros de Vice Society obtengan acceso inicial a la web debido a credenciales comprometidas al usar aplicaciones web". LAUSD alienta a los titulares de cuentas a acceder a MyData en https://mydata.lausd.net utilizando sus credenciales de SSO (es decir, nombre de usuario y contraseña de correo electrónico). enviado por correo electrónico al LAUSD). Una forma de asegurarse de que SSO funcione es ir a la sección "Inside LAUSD" de la página de inicio de LAUSD www.lausd.net".

La página de inicio, el correo electrónico y el inicio de sesión único son aplicaciones vulnerables al acceder a Internet. Los Hackers que acceden a correos electrónicos con contraseñas comprometidas pueden usar el inicio de sesión único para acceder a los datos a través de MyData y cualquier aplicación que permita el acceso de inicio de sesión único. Después del hackeo, LAUSD requirió que el personal y los estudiantes restablecieran sus contraseñas en el sitio web del distrito para el sufijo de correo electrónico @LAUSD.net antes de que pudieran iniciar sesión en sus sistemas. Esto es lo que harán en caso de que se descifre la contraseña del correo electrónico para evitar más infracciones.

Hay un aumento de los ataques de ransomware en la educación este año.

Los grupos de ransomware a menudo atacan la educación, lo que lleva al acceso no autorizado y al robo de identidad del personal y los estudiantes. La aceptación de los maestros, el personal y los estudiantes para trabajar y aprender en línea ha ampliado el panorama de amenazas: los ataques de ransomware educativo han ido en aumento desde 2019.

El FBI confirma la venta de contraseñas educativas pirateadas, incluidos anuncios oscuros en línea de 2000 nombres de usuario y contraseñas de universidades estadounidenses. En los Estados Unidos en el sufijo de dominio .edu en 2020. En 2021, el FBI identificó 36 000 combinaciones de direcciones de correo electrónico y contraseñas para dominios .edu en la plataforma pública de mensajería instantánea.

Este año, el FBI descubrió que varios foros rusos sobre delitos cibernéticos vendieron o divulgaron credenciales de red y acceso VPN a "varias universidades e instituciones de educación superior identificadas" en los Estados Unidos. UU., algunos de los cuales tienen capturas de pantalla como prueba de acceso”.