La violación del Distrito Escolar Unificado de Los Ángeles (LAUSD) destaca la prevalencia de las vulnerabilidades de las contraseñas, ya que los piratas informáticos continúan utilizando las credenciales violadas en ataques de ransomware cada vez más frecuentes en la educación.
La violación del LAUSD el fin de semana del Día del Trabajo trajo importantes interrupciones en todo el distrito para acceder al correo electrónico, computadoras y aplicaciones. No está claro qué datos de estudiantes o empleados extrajeron los atacantes.
Existe una tendencia significativa en las infracciones de ransomware en la educación, un sector altamente vulnerable. La naturaleza transitoria de los estudiantes deja cuentas y contraseñas vulnerables. Los entornos abiertos que crean las escuelas para fomentar la exploración de los alumnos y la relativa ingenuidad del sector en materia de ciberseguridad invitan a los ataques.
La brecha en LAUSD y lo que sucedió después
Cuatro días después de la violación, llegaron informes de que los delincuentes habían ofrecido credenciales para cuentas dentro de la red del distrito escolar. a la venta en la dark web meses antes del ataque. Las credenciales robadas incluían direcciones de correo electrónico con el sufijo @lausd.net como nombres de usuario y contraseñas violadas.
LAUSD respondió en su actualización que «las credenciales de correo electrónico comprometidas supuestamente encontradas en sitios web nefastos fueron sin relación con este ataquesegún lo atestiguado por las agencias federales de investigación». El informe de violación del LAUSD confirmó al FBI y a CISA como investigadores.
El FBI y CISA y los hechos que rodean la violación confirman que los actores de la amenaza probablemente usaron credenciales comprometidas para obtener acceso inicial a la red de LAUSD para afirmar el control sobre contraseñas cada vez más privilegiadas.
El FBI y CISA habían observado al grupo de ransomware Vice Society, que se atribuyó el mérito del ataque, utilizando TTP que incluían «escalar privilegios y luego obtener acceso a cuentas de administrador de dominio». El grupo de ransomware usó scripts para cambiar las contraseñas de las cuentas de red para evitar que la organización de la víctima corrigiera la infracción.
La escalada de privilegios supone que los atacantes tenían privilegios para escalar, lo que significa que ya tenían acceso y contraseñas comprometidas al comienzo del ataque.
como el Asesoramiento del FBI y CISA explicó, «los actores de Vice Society probablemente obtengan acceso inicial a la red a través de credenciales comprometidas por explotar aplicaciones orientadas a Internet.»
El sitio web de LAUSD aconseja a los titulares de cuentas que accedan a su aplicación MyData en https://mydata.lausd.netusando sus «Credenciales de inicio de sesión único (es decir, nombre de usuario y contraseña de correo electrónico de LAUSD). Una forma de asegurarse de que su Inicio de sesión único esté funcionando es iniciar sesión en «Inside LAUSD» en la página de inicio de LAUSD www.lausd.net.»
 |
| Sitio web de LAUSD: ¿Cómo inicio sesión? página |
La página de inicio, el correo electrónico y el SSO son aplicaciones explotables orientadas a Internet. Los piratas informáticos que accedan al correo electrónico a través de contraseñas comprometidas podrían usar SSO para acceder a los datos a través de la aplicación MyData y cualquier aplicación que permita el acceso a través de SSO.
Después de la infracción, LAUSD exigió a los empleados y estudiantes que restablecer sus contraseñas en persona en el sitio web del distrito en una ubicación del distrito escolar para el sufijo de correo electrónico @LAUSD.net antes de que pudieran iniciar sesión en sus sistemas. Es algo que harían en caso de contraseñas de correo electrónico comprometidas para evitar un mayor compromiso.
El aumento de los ataques de ransomware en la educación este año
Los grupos de ransomware a menudo tienen como objetivo la educación, con efectos que incluyen el acceso no autorizado y el robo de PII del personal y de los estudiantes. La aceptación de los maestros, el personal y los estudiantes que trabajan y aprenden en línea ha ampliado el panorama de amenazas, con ataques de ransomware en la educación con una tendencia al alza desde 2019. .
los FBI confirmado contraseñas educativas comprometidas a la venta, incluido un anuncio web oscuro para 2,000 nombres de usuario y contraseñas de universidades de EE. UU. en el sufijo de dominio .edu, en 2020. En 2021, el FBI identificó 36,000 combinaciones de correo electrónico y contraseña para cuentas en dominios .edu en un instante disponible públicamente plataforma de mensajería.
Este año, el FBI encontró varios foros de ciberdelincuentes rusos que vendían o revelaban credenciales de red y acceso VPN a «una multitud de universidades e instituciones de educación superior identificadas en los EE. UU., algunas de las cuales incluían capturas de pantalla como prueba de acceso».
Reforzando la seguridad para 2023
Los atacantes compran y venden contraseñas violadas en la dark web por millones, sabiendo que, debido a la reutilización de contraseñas, la credencial promedio otorga acceso a muchas cuentas. Los piratas informáticos criminales cuentan con él para poder introducir contraseñas violadas en las páginas de inicio de sesión para obtener acceso no autorizado. Ese acceso ilícito a las cuentas permite a los piratas informáticos obtener acceso a datos confidenciales, explotar una red abierta e incluso inyectar ransomware.
La política de contraseñas de Specops con protección de contraseñas violadas compara las contraseñas en su Active Directory con más de 2 mil millones de contraseñas violadas. Specops acaba de agregar más de 13 millones de contraseñas recién violadas a la lista en su última actualización. Specops Breached Password Protection compara las contraseñas de Active Directory con una lista continuamente actualizada de credenciales comprometidas.
Para cada cambio o restablecimiento de contraseña de Active Directory, la Protección de contraseña violada bloquea el uso de cualquier contraseña comprometida con comentarios dinámicos sobre por qué se bloqueó. Si está buscando proteger su organización educativa, o cualquier negocio, puede probar Specops Breached Password Protection de forma gratuita.