Eine russischsprachige Hackergruppe, die dafür bekannt ist, Schulen anzugreifen, übernimmt die Verantwortung
Los Angeles vereint School District oder LAUSD – der zweitgrößte Bezirk in den USA mit mehr als 1.000 Schulen und 6.000 Schülern – bestätigte diese Woche, dass er am Wochenende von einem Cyberangriff getroffen wurde, der den Zugriff auf seine IT-Systeme unterbrach.
Details über den Vorfall, der als „krimineller Natur“ beschrieben und später als Ransomware bestätigt wurde, bleiben vage. Es ist noch nicht bekannt, ob Daten gestohlen wurden, und während LAUSD den Unterricht am Dienstag nach dem langen Labor-Day-Wochenende wie geplant wieder aufnahm, sind die Auswirkungen auf die Schulen derzeit unklar. Shannon Haber, Chief Communications Officer von LAUSD, hat auf mehrere Anfragen nach Kommentaren nicht geantwortet.
Obwohl vieles noch nicht bekannt ist, kristallisieren sich einige Details über den Vorfall heraus.
Die Vice Society übernimmt die Verantwortung
Vice Society, eine russischsprachige Ransomware-Gruppe, die dafür bekannt ist, auf den Bildungssektor abzuzielen, übernahm die Verantwortung für den LAUSD-Ransomware-Angriff.
Vice Society ist eine Ransomware-Gruppe für doppelte Erpressung, was bedeutet, dass sie normalerweise die sensiblen Daten eines Opfers exfiltriert und sie verschlüsselt. Die Gruppe ist dafür bekannt, in die Netzwerke ihrer Opfer einzudringen, indem sie die Schwachstelle Windows PrintNightmare ausnutzt.
Eine Überprüfung der Leak-Site von Vice Society listet LAUSD noch nicht auf, aber eine Reihe anderer US-Schulbezirke sind derzeit auf der Site aufgeführt, darunter die Elmbrook Schools in Wisconsin und der Moon Area School District in Allegheny County.
Tech fragte LAUSD, ob es bestätigen könne, dass Vice Society hinter dem Angriff stecke, erhielt aber keine Antwort.
Die Behauptung der Vice Society kommt Tage, nachdem das FBI und die CISA gewarnt hatten, dass die seit 2021 aktive Ransomware-Gruppe „überproportional mit Ransomware-Angriffen auf den Bildungssektor abzielt“. EIN gemeinsame Regierungsberatung Diese Woche warnt davor, dass K-12-Bildungseinrichtungen wie LAUSD häufig Ziele von Angriffen waren, die zu eingeschränktem Zugriff auf Netzwerke und Daten, verzögerten Prüfungen, abgesagten Schultagen und dem Diebstahl persönlicher Informationen von Schülern und Mitarbeitern geführt haben.
Brett Callow, Ransomware-Experte und Bedrohungsanalyst bei Emsisoft, sagte gegenüber Tech, dass LAUSD das fünfzigste Unternehmen im Bildungssektor ist, das allein in diesem Jahr von Ransomware betroffen ist.
Antwort von LAUSD
Während LAUSD die Auswirkungen des Ransomware-Angriffs noch nicht bestätigt hat, sagte der Bezirk in einer Aktualisierung am 8. September, dass es Fortschritte in Richtung „voller Betriebsstabilität“ für eine Reihe wichtiger IT-Dienste macht. LAUSD hat nicht gesagt, welche Dienste wieder in Betrieb sind, aber zuvor gesagt, dass Schüler und Lehrer möglicherweise nicht auf E-Mails, Google Drive und Schoology, ein beliebtes Lernverwaltungssystem, zugreifen können.
LAUSD sagte, dass alle kompromittierten Anmeldeinformationen vollständig deaktiviert wurden, um die Netzwerkintegrität zu schützen, und fügte hinzu, dass es die Einführung der Multi-Faktor-Authentifizierung im gesamten Distrikt beschleunigt. LAUSD war dabei, die Multi-Faktor-Authentifizierung in großem Umfang einzuführen, mit dem Ziel, das Sicherheitsmerkmal ab dem 12. September für Mitarbeiter und Auftragnehmer obligatorisch zu machen zu einer LAUSD-Mitteilung das wurde später auf Twitter gepostet.
Superintendent Alberto M. Carvalho sagte: „Dieser Vorfall war eine deutliche Erinnerung daran, dass Cybersicherheitsbedrohungen ein echtes Risiko für unseren Distrikt – und Distrikte im ganzen Land – darstellen.“
Dark-Web-Datenleck entlarvt
Früher diese Woche, Berichte entstanden dass „mindestens 23“ Anmeldeinformationen von LAUSD-Mitarbeitern im Dark Web aufgetaucht sind. Die Zugangsdaten enthielten Berichten zufolge E-Mail-Adressen und Passwörter, und mindestens ein Satz von Zugangsdaten soll ein Konto für den virtuellen privaten Netzwerkdienst des Distrikts freigeschaltet haben.
In seinem veröffentlichten Update sagte LAUSD jedoch, dass „kompromittierte E-Mail-Anmeldeinformationen, die Berichten zufolge auf schändlichen Websites gefunden wurden, nichts mit diesem Angriff zu tun hatten, wie von Bundesermittlungsbehörden bestätigt wurde“.
Ein früherer Ransomware-Versuch?
Laut dem Threat-Intelligence-Unternehmen Hold Security war LAUSD das Ziel eines früheren Ransomware-Angriffs im Jahr 2021 Cybersicherheitsreporter Jeremy Kirk. Nach Angaben des Unternehmens wurde der Computer eines Schulpsychologen mit Trickbot infiziert, einer finanziell motivierten Malware, die manchmal als Vorläufer für einen Ransomware-Angriff verwendet wird.
Hold Security sagt, es habe den Distrikt gewarnt, aber es ist nicht klar, welche Maßnahmen – wenn überhaupt – ergriffen wurden.
„LAUSD hat möglicherweise eine Vorfallreaktion durchgeführt und behoben. Aber es ließ erahnen, was dieses Jahr kommen sollte.“ sagte Kirkkommentierte die Ergebnisse des Sicherheitsunternehmens.