Un attacco ransomware mirato all'enorme distretto scolastico di Los Angeles ha provocato un arresto senza precedenti dei suoi sistemi informatici poiché le scuole si trovano sempre più vulnerabili alle violazioni informatiche all'inizio del nuovo anno.

L'attacco al distretto scolastico unificato di Los Angeles ha lanciato allarmi in tutto il paese, dai colloqui urgenti con la Casa Bianca e il Consiglio di sicurezza nazionale dopo che i primi segni di ransomware sono stati scoperti nella tarda notte di sabato, alle modifiche obbligatorie della password per 540.000 studenti e 70.000 dipendenti distrettuali.

Sebbene l'attacco abbia utilizzato una tecnologia che crittografa i dati e non li sbloccherà a meno che non venga pagato un riscatto, in questo caso il sovrintendente distrettuale ha affermato che non è stata fatta alcuna richiesta immediata di denaro e le scuole nel secondo distretto più grande della nazione sono state aperte come previsto martedì.

Tali attacchi sono diventati una minaccia crescente per le scuole statunitensi, con diversi incidenti di alto profilo segnalati dall'anno scorso poiché la dipendenza dalla tecnologia forzata dalla pandemia aumenta l'impatto. E in passato le bande di ransomware hanno pianificato attacchi importanti nei fine settimana delle vacanze negli Stati Uniti, quando sanno che il personale IT sarà ridotto e gli esperti di sicurezza si rilassano.

Anche se non è stato immediatamente chiaro quando è iniziato l'attacco di Los Angeles (i funzionari hanno detto solo quando è stato rilevato e un portavoce distrettuale ha rifiutato di rispondere a ulteriori domande), la scoperta di sabato sera ha raggiunto i livelli più alti delle agenzie di sicurezza informatica del governo federale.

Secondo un alto funzionario dell'amministrazione, questo modello di supporto era coerente con gli sforzi dell'amministrazione Biden per fornire la massima assistenza alle industrie critiche interessate da tali violazioni.

Il funzionario, che ha parlato a condizione di rimanere anonimo per discutere la risposta federale, ha affermato che il distretto scolastico non ha pagato un riscatto, ma non entrerà nel dettaglio su ciò che potrebbe essere stato rubato o danneggiato e quali sistemi sono stati interessati dalla violazione.

La risposta della Casa Bianca all'incursione di Los Angeles riflette una crescente preoccupazione per la sicurezza nazionale:un sondaggio del Pew Research Center, pubblicato il mese scorso, ha rilevato che il 71% degli americani afferma che gli attacchi informatici da altri paesi rappresentano una grave minaccia per gli Stati Uniti

Le autorità ritengono che l'attacco di Los Angeles abbia avuto origine a livello internazionale e hanno identificato tre potenziali paesi da cui potrebbe provenire, anche se il sovrintendente di Los Angeles Alberto Carvalho non ha voluto dire quali paesi potrebbero essere coinvolti. La maggior parte dei criminali ransomware sono di lingua russa che operano senza interferenze da parte del Cremlino.

I funzionari di Los Angeles non hanno identificato il ransomware utilizzato.

"Questo è stato un atto di codardia", ha detto Nick Melvoin, vicepresidente del consiglio scolastico. "Un atto criminale contro i ragazzi, contro i loro insegnanti e contro un sistema educativo."

Finora quest'anno, 26 distretti scolastici degli Stati Uniti, inclusa Los Angeles, e 24 college e università sono stati colpiti dal cosiddetto ransomware, secondo Brett Callow, analista di ransomware presso l'azienda di sicurezza informatica Emsisoft.

Con le vittime che si rifiutano sempre più di pagare per sbloccare i propri dati, molti criminali informatici utilizzano invece la stessa tecnologia per rubare informazioni sensibili e richiedere pagamenti per estorsioni. Se la vittima non paga, i dati vengono scaricati online.

Callow ha affermato che almeno 31 delle scuole colpite quest'anno sono state rubate e pubblicate online e ha notato che otto distretti scolastici sono stati colpiti dal 1° agosto. L'aumento delle scuole alla fine delle vacanze estive quasi certamente non è casuale, ha detto .

"È la minaccia numero 1 alla nostra sicurezza", ha affermato Michel Moore, capo del dipartimento di polizia di Los Angeles. "È un nemico invisibile ed è instancabile."

Instancabile e costoso, anche al di fuori di qualsiasi richiesta monetaria. Un attacco di estorsione ransomware nel più grande distretto scolastico di Albuquerque ha costretto le scuole a chiudere per due giorni a gennaio, mentre la risposta di Baltimora City a un colpo del 2019 sui server dei suoi computer è costata fino a $ 18 milioni.

L'attacco a Los Angeles è stato scoperto intorno alle 22:30. Sabato, quando il personale ha rilevato per la prima volta "attività insolite", ha detto Carvalho. Gli autori sembrano aver preso di mira i sistemi delle strutture, che implicano informazioni sui pagamenti degli appaltatori del settore privato, che sono pubblicamente disponibili tramite richieste di documentazione, piuttosto che dettagli riservati come buste paga, salute e altri dati.

Ha affermato che i funzionari IT distrettuali hanno rilevato il malware e ne hanno impedito la propagazione, ma non fino a quando non ha infettato i principali sistemi di rete, rendendo necessaria la reimpostazione delle password per tutto il personale e gli studenti.

Le autorità si sono affrettate a rintracciare gli intrusi e limitare i potenziali danni.

"Sostanzialmente abbiamo spento tutti i nostri sistemi", ha detto Carvalho, osservando che ognuno era stato controllato e tutti tranne uno, il sistema delle strutture, sono stati riavviati lunedì sera tardi, quando il distretto ha notificato per la prima volta al pubblico il colpo.

Martedì, le autorità federali hanno avvertito separatamente di potenziali attacchi ransomware da parte del sindacato criminale noto come Vice Society, che avrebbe preso di mira in modo sproporzionato il settore dell'istruzione.

Le autorità non hanno detto se ritengono che la Vice Society sia coinvolta nell'attacco a Los Angeles e martedì il gruppo non ha risposto a una richiesta di commento.

"Il fatto che un avviso congiunto sulla sicurezza informatica relativo a Vice Society sia stato emesso pochi giorni dopo la scoperta dell'attacco a LAUSD può essere significativo, soprattutto perché questa banda ha spesso preso di mira il settore dell'istruzione sia negli Stati Uniti che nel Regno Unito", ha affermato Callow, il esperto di ransomware.

Vice Society è apparso per la prima volta nel maggio 2021 e, piuttosto che una variante unica, ha utilizzato ransomware ampiamente disponibile nella clandestinità di lingua russa, affermano i ricercatori di sicurezza. Tra le vittime rivendicate dalla Vice Society ci sono il distretto della Elmbrook School nel Wisconsin e il Savannah College of Art and Design.

Le bande di ransomware si dissolvono regolarmente dopo attacchi di alto profilo come l'incidente dell'oleodotto coloniale dell'anno scorso, che ha innescato corse alle stazioni di servizio. I loro membri si ricostituiscono quindi con nuovi nomi.

Mentre martedì c'erano pressioni per cancellare la scuola a Los Angeles, i funzionari alla fine hanno deciso di rimanere aperti.

Se l'attività non fosse stata scoperta sabato notte, Carvalho ha affermato che potrebbero esserci state conseguenze "catastrofiche".

"Se avessimo perso la capacità di far funzionare i nostri scuolabus, oltre 40.000 dei nostri studenti non sarebbero stati in grado di andare a scuola, o sarebbe stato un sistema fortemente interrotto", ha affermato.

Il distretto prevede di effettuare un audit forense dell'attacco per vedere cosa si può fare per prevenire future incursioni.

"Ogni insegnante, ogni dipendente, ogni studente può essere un punto debole", ha affermato Soheil Katal, responsabile delle informazioni del distretto. + Esplora ulteriormente

Violazione dei dati esposti di mezzo milione di studenti e personale di Chicago

© 2022 Associated Press. Tutti i diritti riservati. Questo materiale non può essere pubblicato, trasmesso, riscritto o ridistribuito senza autorizzazione.