Een ransomware-aanval gericht op het enorme schooldistrict van Los Angeles leidde tot een ongekende sluiting van zijn computersystemen, aangezien scholen aan het begin van een nieuw jaar steeds kwetsbaarder worden voor cyberinbreuken.

De aanval op het Los Angeles Unified School District luidde alarmbellen in het hele land, van dringende gesprekken met het Witte Huis en de National Security Council nadat de eerste tekenen van ransomware zaterdagavond laat werden ontdekt tot verplichte wachtwoordwijzigingen voor 540.000 studenten en 70.000 districtsmedewerkers.

Hoewel bij de aanval technologie werd gebruikt die gegevens versleutelt en deze niet ontgrendelt tenzij er losgeld wordt betaald, zei de hoofdinspecteur van het district in dit geval dat er niet onmiddellijk om geld werd gevraagd en dat de scholen in het op een na grootste district van het land dinsdag zoals gepland opengingen.

Dergelijke aanvallen zijn een groeiende bedreiging geworden voor Amerikaanse scholen, met verschillende spraakmakende incidenten die sinds vorig jaar zijn gemeld, omdat pandemie-gedwongen afhankelijkheid van technologie de impact vergroot. En ransomware-bendes hebben in het verleden grote aanvallen gepland tijdens Amerikaanse vakantieweekenden, wanneer ze weten dat het IT-personeel dun zal zijn en beveiligingsexperts zullen ontspannen.

Hoewel het niet meteen duidelijk was wanneer de aanval in LA begon - functionarissen hebben dit pas gezegd toen het werd ontdekt en een districtswoordvoerder weigerde aanvullende vragen te beantwoorden - bereikte de ontdekking van zaterdagavond het hoogste niveau van de cyberbeveiligingsinstanties van de federale overheid.

Volgens een hoge overheidsfunctionaris was dit steunpatroon consistent met de inspanningen van de regering-Biden om maximale hulp te bieden aan kritieke industrieën die door dergelijke inbreuken worden getroffen.

De functionaris, die op voorwaarde van anonimiteit sprak om de federale reactie te bespreken, zei dat het schooldistrict geen losgeld heeft betaald, maar niet in detail wil treden over wat er mogelijk is gestolen of beschadigd en welke systemen door de inbreuk zijn getroffen.

De reactie van het Witte Huis op de inval in LA weerspiegelt een groeiende bezorgdheid over de nationale veiligheid:uit een onderzoek van Pew Research Center, dat vorige maand werd gepubliceerd, bleek dat 71% van de Amerikanen zegt dat cyberaanvallen uit andere landen een grote bedreiging vormen voor de VS.

Autoriteiten geloven dat de LA-aanval internationaal is ontstaan ​​en hebben drie potentiële landen geïdentificeerd waar deze vandaan kunnen komen, hoewel LA-hoofdinspecteur Alberto Carvalho niet wil zeggen welke landen mogelijk betrokken zijn. De meeste ransomware-criminelen zijn Russischtaligen die opereren zonder inmenging van het Kremlin.

LA-functionarissen hebben de gebruikte ransomware niet geïdentificeerd.

"Dit was een daad van lafheid", zei Nick Melvoin, de vice-president van het schoolbestuur. "Een criminele daad tegen kinderen, tegen hun leraren en tegen een onderwijssysteem."

Volgens Brett Callow, een ransomware-analist bij het cyberbeveiligingsbedrijf Emsisoft, zijn dit jaar tot nu toe 26 Amerikaanse schooldistricten, waaronder Los Angeles, en 24 hogescholen en universiteiten getroffen door zogenaamde ransomware.

Nu slachtoffers steeds vaker weigeren te betalen om hun gegevens te ontgrendelen, gebruiken veel cybercriminelen in plaats daarvan dezelfde technologie om gevoelige informatie te stelen en afpersingsbetalingen te eisen. Als het slachtoffer niet betaalt, worden de gegevens online gedumpt.

Callow zei dat ten minste 31 van de scholen die dit jaar werden getroffen, gegevens hadden gestolen en online waren vrijgegeven, en merkte op dat acht van de schooldistricten zijn getroffen sinds 1 augustus. De toename van scholen aan het einde van de zomervakantie is vrijwel zeker niet toevallig, zei hij .

"Het is de grootste bedreiging voor onze veiligheid", zegt Michel Moore, hoofd van de politie van Los Angeles. "Het is een onzichtbare vijand en hij is onvermoeibaar."

Onvermoeibaar - en duur, zelfs buiten eventuele geldelijke eisen. Een ransomware-afpersingsaanval in het grootste schooldistrict van Albuquerque dwong scholen in januari twee dagen te sluiten, terwijl de reactie van Baltimore City op een hit in 2019 op zijn computerservers meer dan $ 18 miljoen kostte.

De aanval in LA werd rond 22.30 uur ontdekt. Zaterdag, toen het personeel voor het eerst "ongewone activiteit" ontdekte, zei Carvalho. De daders lijken zich te hebben gericht op de facilitaire systemen, die informatie bevatten over betalingen van aannemers in de particuliere sector - die openbaar beschikbaar zijn via verzoeken om dossiers - in plaats van vertrouwelijke details zoals salaris-, gezondheids- en andere gegevens.

Hij zei dat IT-functionarissen van het district de malware hebben gedetecteerd en de verspreiding ervan hebben tegengehouden, maar pas nadat het belangrijke netwerksystemen had geïnfecteerd, waardoor wachtwoorden voor alle medewerkers en studenten opnieuw moesten worden ingesteld.

Autoriteiten haastten zich om de indringers op te sporen en mogelijke schade te beperken.

"We hebben in feite al onze systemen afgesloten," zei Carvalho, en merkte op dat ze allemaal waren gecontroleerd en op één na allemaal - het faciliteitensysteem - opnieuw waren opgestart maandagavond laat, toen het district het publiek voor het eerst op de hoogte bracht van de hit.

Op dinsdag waarschuwden de federale autoriteiten afzonderlijk voor mogelijke ransomware-aanvallen door het criminele syndicaat dat bekend staat als Vice Society, dat naar verluidt onevenredig veel op de onderwijssector heeft gericht.

De autoriteiten hebben niet gezegd of ze geloven dat Vice Society betrokken is bij de aanval in LA en de groep heeft dinsdag niet gereageerd op een verzoek om commentaar.

"Het feit dat een gezamenlijk cyberbeveiligingsadvies met betrekking tot Vice Society werd uitgegeven binnen enkele dagen nadat de aanval op LAUSD werd ontdekt, is misschien veelzeggend, vooral omdat deze bende zich vaak heeft gericht op de onderwijssector in zowel de VS als het VK", zegt Callow, de ransomware-expert.

Vice Society verscheen voor het eerst in mei 2021 en heeft in plaats van een unieke variant ransomware gebruikt die algemeen beschikbaar is in de Russisch sprekende underground, zeggen beveiligingsonderzoekers. Onder de slachtoffers die door Vice Society zijn opgeëist, bevinden zich het Elmbrook School-district in Wisconsin en het Savannah College of Art and Design.

Ransomware-bendes lossen routinematig op na spraakmakende aanvallen, zoals het incident met de koloniale pijpleiding van vorig jaar, dat aanleiding gaf tot het runnen van benzinestations. Hun leden reconstrueren dan onder nieuwe namen.

Hoewel er dinsdag druk was om de school in Los Angeles te annuleren, besloten ambtenaren uiteindelijk om open te blijven.

Als de activiteit zaterdagavond niet was ontdekt, zei Carvalho dat er "catastrofale" gevolgen hadden kunnen zijn.

"Als we de mogelijkheid hadden verloren om onze schoolbussen te besturen, zouden meer dan 40.000 van onze studenten niet naar school hebben kunnen komen, of het zou een sterk verstoord systeem zijn geweest", zei hij.

Het district is van plan een forensische audit van de aanval uit te voeren om te zien wat er kan worden gedaan om toekomstige invallen te voorkomen.

"Elke leraar, elke medewerker, elke student kan een zwak punt zijn", zegt Soheil Katal, de hoofdvoorlichting van het district. + Verder verkennen

Inbreuk blootgestelde gegevens van een half miljoen Chicago-studenten, personeel

© 2022 The Associated Press. Alle rechten voorbehouden. Dit materiaal mag niet worden gepubliceerd, uitgezonden, herschreven of opnieuw verspreid zonder toestemming.