LA Birleşik Okul Bölgesi’nin (LAUSD) ihlali, suçlu bilgisayar korsanları, eğitime yönelik giderek daha sık yapılan fidye yazılımı saldırılarında ihlal edilen kimlik bilgilerini kullanmaya devam ederken, parola güvenlik açıklarının yaygınlığını vurgulamaktadır.
LAUSD İşçi Bayramı hafta sonu ihlali önemli getirdi e-postaya erişimde bölge çapında kesintiler, bilgisayarlar ve uygulamalar. Saldırganların hangi öğrenci veya çalışan verilerini sızdırdığı belli değil.
Son derece savunmasız bir sektör olan eğitimde fidye yazılımı ihlallerinde önemli bir eğilim var. Öğrencilerin geçici doğası, hesapları ve şifreleri savunmasız bırakır. Okulların öğrencilerin keşfetmesini teşvik etmek için oluşturduğu açık ortamlar ve sektördeki siber güvenlik konusundaki göreceli saflık, saldırılara davetiye çıkarıyor.
LAUSD’deki ihlal ve sonrasında olanlar
İhlalden dört gün sonra, suçluların okul bölgesi ağındaki hesaplar için kimlik bilgileri sunduğuna dair haberler geldi. dark web’de satılık saldırıdan aylar önce. Çalınan kimlik bilgileri, kullanıcı adları ve ihlal edilen şifreler olarak @lausd.net son ekine sahip e-posta adreslerini içeriyordu.
LAUSD, güncellemesinde, “kötü niyetli web sitelerinde bulunduğu bildirilen güvenliği ihlal edilmiş e-posta kimlik bilgilerinin bu saldırıyla ilgisi yokfederal soruşturma kurumları tarafından onaylandığı gibi.” LAUSD ihlal raporu, FBI ve CISA’yı müfettiş olarak doğruladı.
FBI ve CISA ve ihlali çevreleyen gerçekler, tehdit aktörlerinin, giderek daha ayrıcalıklı şifreler üzerinde kontrol sağlamak için LAUSD ağına ilk erişim sağlamak için muhtemelen tehlikeye atılmış kimlik bilgilerini kullandığını doğrulamaktadır.
FBI ve CISA, saldırının sorumluluğunu üstlenen Vice Society fidye yazılımı grubunu, TTP’leri kullanarak gözlemlemişti. “ayrıcalıkların yükseltilmesi, ardından etki alanı yöneticisi hesaplarına erişim sağlanması.” Fidye yazılımı grubu, kurban organizasyonun ihlali düzeltmesini önlemek için ağ hesabı şifrelerini değiştirmek için komut dosyaları kullandı.
Yükselen ayrıcalıklar, saldırganların yükselme ayrıcalıklarına sahip olduğunu varsayar; bu, saldırının başlangıcında zaten erişime ve güvenliği ihlal edilmiş parolalara sahip oldukları anlamına gelir.
olarak FBI ve CISA danışmanlığı “Vice Society aktörleri, muhtemelen ilk ağ erişimini, İnternete yönelik uygulamalardan yararlanma“
LAUSD web sitesi, hesap sahiplerine MyData uygulamasına şu adresten erişmelerini tavsiye eder: https://mydata.lausd.net“Tek Oturum Açma kimlik bilgilerini (yani, LAUSD e-posta kullanıcı adı ve parolasını) kullanarak. Tek Oturum Açmanızın çalıştığından emin olmanın bir yolu, LAUSD ana sayfasındaki “Inside LAUSD” oturum açmaktır. www.lausd.net”
LAUSD web sitesi: Nasıl giriş yapabilirim? sayfa |
Ana sayfa, e-posta ve SSO, istismar edilebilir internete yönelik uygulamalardır. Güvenliği ihlal edilmiş parolalar aracılığıyla e-postaya erişen bilgisayar korsanları, MyData uygulaması ve SSO aracılığıyla erişime izin veren herhangi bir uygulama genelindeki verilere erişmek için SSO’yu kullanabilir.
İhlalin ardından LAUSD, çalışanların ve öğrencilerin şifrelerini şahsen sıfırla Sistemlerinde oturum açmadan önce @LAUSD.net e-posta son eki için bir okul bölgesi konumundaki bölge web sitesinde. Bu, güvenliği ihlal edilmiş e-posta şifreleri durumunda daha fazla güvenliğin ihlal edilmesini önlemek için yapacakları bir şeydir.
Bu yıl eğitime yönelik fidye yazılımı saldırılarının yükselişi
Fidye yazılımı grupları, yetkisiz erişim, personel ve öğrenci kimlik bilgilerinin çalınması gibi etkilerle genellikle eğitimi hedefler. Çevrimiçi çalışan ve öğrenen öğretmenlerin, personelin ve öğrencilerin alımı, 2019’dan bu yana eğitime yönelik fidye yazılımı saldırılarının artmasıyla tehdit ortamını genişletti.
bu FBI onayladı 2020’de .edu alan son ekindeki 2.000 ABD üniversitesi kullanıcı adı ve şifresi için bir dark web reklamı da dahil olmak üzere, güvenliği ihlal edilmiş eğitim şifreleri satılık. 2021’de FBI, herkese açık bir anında .edu alanlarındaki hesaplar için 36.000 e-posta ve şifre kombinasyonu belirledi mesajlaşma platformu
Bu yıl, FBI, “bazıları erişim kanıtı olarak ekran görüntüleri de dahil olmak üzere, ABD merkezli çok sayıda tanımlanmış üniversite ve koleje” ağ kimlik bilgilerini ve VPN erişimini satan veya ifşa eden çok sayıda Rus siber suç forumunu buldu.
2023 için güvenliği artırma
Saldırganlar karanlık ağda ihlal edilmiş şifreleri alıp satıyor milyonlarca tarafından, parola yeniden kullanımı nedeniyle, ortalama kimlik bilgisinin birçok hesaba erişim sağladığını bilerek. Suçlu bilgisayar korsanları, yetkisiz erişim elde etmek için ihlal edilen parolaları giriş sayfalarına yerleştirebilmek için buna güvenir. Hesaplara yasadışı erişim, bilgisayar korsanlarının hassas verilere erişmesine, açık bir ağdan yararlanmasına ve hatta fidye yazılımı enjekte etmek.
İhlal Edilen Parola Korumalı Specops Parola Politikası, Active Directory’nizdeki parolaları, ihlal edilmiş 2 milyardan fazla parolayla karşılaştırır. Specops, en son güncellemesinde listeye yeni ihlal edilen 13 milyondan fazla şifreyi ekledi. Specops İhlal Edilen Parola Koruması, Active Directory parolalarını sürekli güncellenen, güvenliği ihlal edilmiş kimlik bilgileri listesiyle karşılaştırır.
Her Active Directory parola değişikliği veya sıfırlama için, İhlal Edilen Parola Koruması, neden engellendiğine ilişkin dinamik geri bildirimle güvenliği ihlal edilmiş parolaların kullanımını engeller. Eğitim organizasyonunuzu veya bu konuda herhangi bir işletmeyi güvence altına almak istiyorsanız, Specops İhlal Edilen Parola Korumasını ücretsiz olarak test edebilirsiniz.