Alberto Carvalho, Superintendent, Los Angeles Unified School District, landets næststørste skoledistrikt, kommenterer et eksternt cyberangreb på LAUSD-informationssystemerne under Labor Day-weekenden på en pressekonference i Los Angeles tirsdag den 6. september 2022. På trods af ransomware-angrebet åbnede skoler i landets næststørste distrikt som sædvanlig tirsdag morgen. Kredit:AP Photo/Damian Dovarganes
Et ransomware-angreb rettet mod det enorme skoledistrikt i Los Angeles førte til en hidtil uset lukning af dets computersystemer, da skoler i stigende grad finder sig selv sårbare over for cyberbrud i starten af et nyt år.
Angrebet på Los Angeles Unified School District udløste alarmer over hele landet, fra presserende samtaler med Det Hvide Hus og National Security Council, efter at de første tegn på ransomware blev opdaget sent lørdag aften, til obligatoriske adgangskodeændringer for 540.000 studerende og 70.000 distriktsansatte.
Selvom angrebet brugte teknologi, der krypterer data og ikke låser dem op, medmindre der betales en løsesum, sagde distriktets superintendent i dette tilfælde, at der ikke umiddelbart blev stillet krav om penge, og at skoler i landets næststørste distrikt åbnede som planlagt tirsdag.
Sådanne angreb er blevet en voksende trussel mod amerikanske skoler, med adskillige højprofilerede hændelser rapporteret siden sidste år, da pandemi-tvunget afhængighed af teknologi øger virkningen. Og ransomware-bander har tidligere planlagt store angreb på amerikanske ferieweekender, når de ved, at it-bemandingen vil være tynd, og sikkerhedseksperter slapper af.
Selvom det ikke umiddelbart var klart, hvornår LA-angrebet begyndte - embedsmænd har kun sagt, hvornår det blev opdaget, og en talsmand for distriktet afviste at besvare yderligere spørgsmål - nåede lørdagens opdagelse de højeste niveauer af den føderale regerings cybersikkerhedsagenturer.
Ifølge en højtstående embedsmand var dette støttemønster i overensstemmelse med Biden-administrationens bestræbelser på at yde maksimal assistance til kritiske industrier, der er berørt af sådanne brud.
Embedsmanden, som talte på betingelse af anonymitet for at diskutere det føderale svar, sagde, at skoledistriktet ikke betalte løsesum, men ville ikke komme nærmere ind på, hvad der potentielt kunne være blevet stjålet eller beskadiget, og hvilke systemer der var påvirket af bruddet.
Det Hvide Hus' svar på LA-indtrængen afspejler en voksende national sikkerhedsbekymring:En undersøgelse fra Pew Research Center, offentliggjort i sidste måned, viste, at 71 % af amerikanerne siger, at cyberangreb fra andre lande er en stor trussel mod USA.
Myndighederne mener, at LA-angrebet stammer fra internationalt og har identificeret tre potentielle lande, hvor det kan komme fra, selvom LA-inspektør Alberto Carvalho ikke vil sige, hvilke lande der kan være involveret. De fleste ransomware-kriminelle er russisktalende, som opererer uden indblanding fra Kreml.
LA embedsmænd identificerede ikke den anvendte ransomware.
"Dette var en fejhedshandling," sagde Nick Melvoin, skolebestyrelsens vicepræsident. "En kriminel handling mod børn, mod deres lærere og mod et uddannelsessystem."
Indtil videre i år er 26 amerikanske skoledistrikter – inklusive Los Angeles – og 24 colleges og universiteter blevet ramt af såkaldt ransomware, ifølge Brett Callow, en ransomware-analytiker hos cybersikkerhedsfirmaet Emsisoft.
Da ofre i stigende grad nægter at betale for at få deres data låst op, bruger mange cyberkriminelle i stedet den samme teknologi til at stjæle følsomme oplysninger og kræve afpresningsbetalinger. Hvis offeret ikke betaler, bliver dataene dumpet online.
Callow sagde, at mindst 31 af de skoler, der blev ramt i år, havde stjålet data og frigivet online, og bemærkede, at otte af skoledistrikterne er blevet ramt siden 1. august. Den stigning i skolerne, da sommerferien slutter, er næsten helt sikkert ikke tilfældig, sagde han. .
"Det er truslen nr. 1 mod vores sikkerhed," sagde Michel Moore, chef for Los Angeles politi. "Det er en usynlig fjende, og den er utrættelig."
Utrættelig – og dyr, selv uden for pengekrav. Et ransomware-afpresningsangreb i Albuquerques største skoledistrikt tvang skoler til at lukke i to dage i januar, mens Baltimore Citys svar på et hit i 2019 på deres computerservere kostede op mod $18 millioner.
LA-angrebet blev opdaget omkring klokken 22.30. Lørdag, da personalet først opdagede "usædvanlig aktivitet," sagde Carvalho. Gerningsmændene ser ud til at have angrebet faciliteternes systemer, som involverer oplysninger om entreprenørbetalinger fra den private sektor – som er offentligt tilgængelige via anmodninger om registre – snarere end fortrolige detaljer som løn, helbred og andre data.
Han sagde, at distriktets it-embedsmænd opdagede malwaren og stoppede den i at sprede sig, men først efter at den inficerede vigtige netværkssystemer, hvilket nødvendiggjorde nulstilling af adgangskoder for alle ansatte og studerende.
Myndighederne forsøgte at spore ubudne gæster og begrænse potentielle skader.
"Vi lukkede stort set alle vores systemer ned," sagde Carvalho og bemærkede, at hvert enkelt system var blevet kontrolleret, og at alle undtagen ét - faciliteterne - blev genstartet sent mandag aften, da distriktet første gang underrettede offentligheden om hit.
Tirsdag advarede føderale myndigheder separat om potentielle ransomware-angreb fra det kriminelle syndikat kendt som Vice Society, som angiveligt har været uforholdsmæssigt målrettet mod uddannelsessektoren.
Myndighederne har ikke sagt, om de mener, at Vice Society er involveret i LA-angrebet, og gruppen reagerede ikke på en anmodning om kommentar tirsdag.
"Det faktum, at en fælles cybersikkerhedsrådgivning vedrørende Vice Society blev udstedt inden for få dage efter, at angrebet på LAUSD blev opdaget, kan være sigende, især da denne bande ofte har målrettet uddannelsessektoren i både USA og Storbritannien," sagde Callow, den ransomware-ekspert.
Vice Society dukkede første gang op i maj 2021, og snarere end en unik variant har den brugt ransomware, der er bredt tilgængelig i den russisktalende undergrund, siger sikkerhedsforskere. Blandt ofrene, som Vice Society hævder, er Elmbrook School-distriktet i Wisconsin og Savannah College of Art and Design.
Ransomware-bander opløses rutinemæssigt efter højt profilerede angreb, såsom sidste års Colonial Pipeline-hændelse, der udløste kørsler på tankstationer. Deres medlemmer rekonstituerer sig derefter under nye navne.
Mens der var pres for at aflyse skolen i Los Angeles tirsdag, besluttede embedsmænd i sidste ende at holde åbent.
Hvis aktiviteten ikke var blevet opdaget lørdag aften, sagde Carvalho, at der kunne have været "katastrofale" konsekvenser.
"Hvis vi havde mistet evnen til at køre vores skolebusser, ville over 40.000 af vores elever ikke have været i stand til at komme i skole, eller det ville have været et stærkt forstyrret system," sagde han.
Distriktet planlægger at lave en retsmedicinsk revision af angrebet for at se, hvad der kan gøres for at forhindre fremtidige indtrængen.
"Hver lærer, hver medarbejder, hver elev kan være et svagt punkt," sagde Soheil Katal, distriktets informationschef. + Udforsk yderligere
© 2022 The Associated Press. Alle rettigheder forbeholdes. Dette materiale må ikke offentliggøres, udsendes, omskrives eller videredistribueres uden tilladelse.