Um ataque de ransomware direcionado ao enorme distrito escolar de Los Angeles provocou um desligamento sem precedentes de seus sistemas de computadores, à medida que as escolas se encontram cada vez mais vulneráveis ​​a violações cibernéticas no início de um novo ano.
O ataque ao Distrito Escolar Unificado de Los Angeles soou alarmes em todo o país, desde conversas urgentes com a Casa Branca e o Conselho de Segurança Nacional depois que os primeiros sinais de ransomware foram descobertos na noite de sábado até mudanças obrigatórias de senha para 540.000 alunos e 70.000 funcionários do distrito.

Embora o ataque tenha usado tecnologia que criptografa dados e não os desbloqueia a menos que um resgate seja pago, neste caso o superintendente do distrito disse que nenhuma demanda imediata por dinheiro foi feita e as escolas no segundo maior distrito do país abriram conforme programado na terça-feira.

Esses ataques se tornaram uma ameaça crescente para as escolas dos EUA, com vários incidentes de alto nível relatados desde o ano passado, à medida que a dependência da tecnologia forçada pela pandemia aumenta o impacto. E as gangues de ransomware já planejaram grandes ataques nos fins de semana de feriados dos EUA, quando sabem que a equipe de TI será escassa e os especialistas em segurança relaxarão.

Embora não tenha ficado imediatamente claro quando o ataque em Los Angeles começou – as autoridades disseram apenas quando foi detectado e um porta-voz do distrito se recusou a responder a perguntas adicionais – a descoberta de sábado à noite atingiu os níveis mais altos das agências de segurança cibernética do governo federal.

De acordo com um alto funcionário do governo, esse padrão de apoio foi consistente com os esforços do governo Biden para fornecer assistência máxima a setores críticos afetados por tais violações.

O funcionário, que falou sob condição de anonimato para discutir a resposta federal, disse que o distrito escolar não pagou resgate, mas não entraria em detalhes sobre o que poderia ter sido roubado ou danificado e quais sistemas foram afetados pela violação.

A resposta da Casa Branca à incursão em Los Angeles reflete uma crescente preocupação com a segurança nacional:uma pesquisa do Pew Research Center, publicada no mês passado, descobriu que 71% dos americanos dizem que os ataques cibernéticos de outros países são uma grande ameaça aos EUA.

As autoridades acreditam que o ataque de LA teve origem internacional e identificaram três países potenciais de onde pode ter vindo, embora o superintendente de LA Alberto Carvalho não tenha dito quais países podem estar envolvidos. A maioria dos criminosos de ransomware são falantes de russo que operam sem interferência do Kremlin.

Funcionários de LA não identificaram o ransomware usado.

"Foi um ato de covardia", disse Nick Melvoin, vice-presidente do conselho escolar. "Um ato criminoso contra crianças, contra seus professores e contra um sistema educacional."

Até agora este ano, 26 distritos escolares dos EUA – incluindo Los Angeles – e 24 faculdades e universidades foram atingidos pelo chamado ransomware, de acordo com Brett Callow, analista de ransomware da empresa de segurança cibernética Emsisoft.

Com as vítimas se recusando cada vez mais a pagar para que seus dados sejam desbloqueados, muitos cibercriminosos usam a mesma tecnologia para roubar informações confidenciais e exigir pagamentos de extorsão. Se a vítima não pagar, os dados são despejados online.

Callow disse que pelo menos 31 das escolas atingidas este ano tiveram dados roubados e divulgados online, e observou que oito dos distritos escolares foram atingidos desde 1º de agosto. .

"É a ameaça número 1 à nossa segurança", disse Michel Moore, chefe do Departamento de Polícia de Los Angeles. "É um inimigo invisível e incansável."

Incansável - e caro, mesmo fora de qualquer demanda monetária. Um ataque de extorsão de ransomware no maior distrito escolar de Albuquerque forçou as escolas a fechar por dois dias em janeiro, enquanto a resposta da cidade de Baltimore a um golpe de 2019 em seus servidores de computador custou mais de US$ 18 milhões.

O ataque em Los Angeles foi descoberto por volta das 22h30. Sábado, quando a equipe detectou pela primeira vez "atividade incomum", disse Carvalho. Os criminosos parecem ter como alvo os sistemas de instalações, que envolvem informações sobre pagamentos de contratados do setor privado – que estão disponíveis publicamente por meio de solicitações de registros – em vez de detalhes confidenciais como folha de pagamento, saúde e outros dados.

Ele disse que as autoridades distritais de TI detectaram o malware e impediram que ele se propagasse, mas não antes de infectar os principais sistemas de rede, exigindo a redefinição de senhas para todos os funcionários e alunos.

As autoridades se esforçaram para rastrear os intrusos e restringir possíveis danos.

“Basicamente, fechamos todos os nossos sistemas”, disse Carvalho, observando que todos foram verificados e todos, exceto um – o sistema de instalações – foram reiniciados na noite de segunda-feira, quando o distrito notificou pela primeira vez o público sobre o ataque.

Na terça-feira, as autoridades federais alertaram separadamente sobre possíveis ataques de ransomware pelo sindicato criminoso conhecido como Vice Society, que supostamente visa desproporcionalmente o setor educacional.

As autoridades não disseram se acreditam que a Vice Society está envolvida no ataque de Los Angeles e o grupo não respondeu a um pedido de comentário na terça-feira.

“O fato de um aviso conjunto de segurança cibernética relacionado à Vice Society ter sido emitido poucos dias após a descoberta do ataque ao LAUSD pode ser revelador, especialmente porque essa gangue frequentemente tem como alvo o setor educacional nos EUA e no Reino Unido”, disse Callow, o especialista em ransomware.

A Vice Society apareceu pela primeira vez em maio de 2021 e, em vez de uma variante única, usou ransomware amplamente disponível no submundo de língua russa, dizem pesquisadores de segurança. Entre as vítimas reivindicadas pela Vice Society estão o distrito escolar de Elmbrook em Wisconsin e o Savannah College of Art and Design.

As gangues de ransomware se dissolvem rotineiramente após ataques de alto nível, como o incidente Colonial Pipeline do ano passado, que desencadeou corridas em postos de gasolina. Seus membros então se reconstituem sob novos nomes.

Embora houvesse pressão para cancelar as aulas em Los Angeles na terça-feira, as autoridades decidiram permanecer abertas.

Se a atividade não tivesse sido descoberta na noite de sábado, Carvalho disse que poderia haver consequências "catastróficas".

"Se tivéssemos perdido a capacidade de operar nossos ônibus escolares, mais de 40.000 de nossos alunos não conseguiriam chegar à escola, ou teria sido um sistema altamente perturbado", disse ele.

O distrito planeja fazer uma auditoria forense do ataque para ver o que pode ser feito para evitar futuras incursões.

"Cada professor, cada funcionário, cada aluno pode ser um ponto fraco", disse Soheil Katal, diretor de informação do distrito. + Explorar mais

Violação de dados expostos de meio milhão de estudantes e funcionários de Chicago

© 2022 The Associated Press. Todos os direitos reservados. Este material não pode ser publicado, transmitido, reescrito ou redistribuído sem permissão.