分析发现,自3月份疫情开始以来,近30多次勒索软件攻击的目标是美国学区,教育了70多万名学生

2020-11-14 21:27:27

美国各地的教育区正在与一波越来越咄咄逼人的黑客作斗争,这些黑客公开发布敏感的学生信息。

就在本学期开学之际,技术主管托尼·布鲁克斯(Tony Brooks)冲进了他位于德克萨斯州雅典的办公室。同事们说,他们无法访问学区的网络。

他登录了他的电脑。弹出一条消息:“你所有的重要文件都被加密了!”

“我立刻吓坏了,”布鲁克斯说。“我把我的团队召集在一起,说我们需要去拔掉每台电脑的电源。”我们不想让病毒再传播下去。“。

布鲁克斯在拥有3000名学生的雅典独立学区工作,他很快发现自己与一名网络海盗通信,后者索要钱财,以换取该学区充满个人和财务信息的系统。该学区分享了与《华尔街日报》互动的截图,罕见地近距离展示了勒索软件攻击的细节。

美国各地的学校正在与黑客越来越咄咄逼人的勒索软件攻击作斗争。美国财政部上个月警告说,在冠状病毒大流行期间,勒索软件攻击总体上有所增加-由于地区往往人员稀缺,技术部门和充满个人数据的网络成为特别诱人的目标。

在过去艰难的一年里,这是一个重要的新的压力来源,疫情迫使学校关闭,远程学习的混乱实施和复杂的时间表。

多年来,黑客一直使用勒索软件(一种恶意软件)来锁定电脑或文件,直到支付所要求的金额-但他们通常只把钱留给学区。现在,他们正在抓取地址、电话号码、社保号码、成绩和其他敏感的学生信息,如果没有付款,就可以在网上发布。这些信息可能会帮助身份盗窃,或者让脆弱的年轻人非常尴尬。

“这是敲诈勒索,”网络安全公司Armor Defense Inc.发言人伊丽莎白·克拉克(Elizabeth Clarke)说。“勒索软件变得更加令人发指。为了鼓励你付费,他们会说,‘嘿,我们有所有的数据,我们很乐意发布。’“。

目前美国还没有官方的勒索软件清算所来追踪勒索软件案件,但一些从新闻报道中追踪已知事件以及自己的私人案件的网络安全公司表示,他们看到涉及学校和大学的案件正在增加,这些学校现在严重依赖在线学习和技术来运营自己的业务。

根据对黑客在暗网(Dark Web)上的网站的搜索,《华尔街日报》记录了自3月份疫情爆发以来,针对学区的近30起勒索软件攻击。暗网是一种通过特殊软件访问的网站,用户可以匿名访问该网络,以及一些众所周知的案例。

这一数字影响了超过70万名学生的教育学区,这还不包括许多也受到攻击的私立学校、社区学院和大学。

这个数字低估了实际病例的数量。安全专家说,一些地区转而使用备用服务器,这些服务器躲过了攻击,或者在从未公开的情况下悄悄支付了赎金,不愿承认自己遭到了黑客攻击,渴望继续前进。黑客经常告诉受害者不要打电话给执法部门。

即使是那些已经上市的公司,通常也不会透露支付了多少赎金。《华尔街日报》统计了七起案件,发现学区、学院和大学在过去12个月里至少支付了200万美元,除此之外,为了更好地保护系统,往往还需要支付沉重的成本。这些案件的赎金金额由三万五千元至一百一十四万元不等。

根据网络安全公司Coveware Inc.的数据,近年来,所有行业的平均赎金支出都在攀升,从去年同期的41,198美元攀升至今年第三季度的233,817美元。

安全专家表示,许多勒索软件黑客在美国境外活动,很难被抓获。

当涉及到如何对付黑客或如何保护他们的系统安全时,学区通常要靠自己。在10月份的一封信中,内华达州民主党参议员杰基·罗森(Jacky Rosen)和凯瑟琳·科尔特斯·马斯托(Catherine Cortez Masto)要求美国教育部部长贝齐·德沃斯(Betsy DeVos)和国土安全部代理部长查德·沃尔夫(Chad Wolf)解决针对学校和学区的勒索软件攻击问题。

这封信援引了《华尔街日报》9月份的一篇文章,文章披露,黑客在没有支付赎金的情况下,公布了拉斯维加斯克拉克县学区32万名学生的学生成绩、员工社保号码和其他敏感数据。

应该怎么做才能将学区在黑客面前的脆弱性降到最低?加入下面的对话。

俄亥俄州托莱多公立学校的袭击事件尤为严重。该黑客网站10月份发布的信息包括学生和员工的社保号码和出生日期、学生的纪律和残疾信息、员工评估和考试成绩。其中包括一名被列为情绪紊乱的八年级学生的身份,一名因性行为而停学的九年级学生的身份,以及一份寄养儿童的名单。

托莱多的父母克里斯塔·威尔科克斯(Krista Wilcox)对她8岁的儿子的身份可能被泄露感到愤怒,她发现信息泄露是通过媒体报道,而不是从学区。

“我的信息已经公开,他们可以联系我,”她说。“我怎么知道那不是人贩子?”我觉得自己被学校系统出卖了。“。

托莱多公立学校(Toledo Public School)在一份书面声明中表示,这个拥有2.3万名学生的学区联系了联邦调查局(Federal Bureau Of Investigation),并联系了网络安全专家,以确定攻击的范围。该学区鼓励家长和监护人监督信用报告。

黑客经常与受害者谈判。德克萨斯州休斯敦的谢尔顿独立学区(Sheldon Independent School)在3月份发生袭击后,支付了206,931美元的赎金,低于之前谈判的约35万美元。

安全专家说,在支付费用后,这个拥有1万名学生的学区无法找回大约10%的文件-在勒索软件案件中损失的金额并不罕见。管理人员担心黑客保留了学区的一些数据,促使他们通知家长和员工这种可能性。

谢尔顿官员认为,黑客通过钓鱼邮件进入了他们的系统,这意味着有人打开了一封带有恶意软件附件或链接的电子邮件。黑客还从薄弱的网络安全控制和用户登录信息进入。

学区有稳定的税收来源,他们的储备资金通常对公众开放。

“高收入和低网络安全基本上是一个公开的邀请,”通过SunCrypt黑客网站联系到的一位人士表示,他在黑暗网络上接受了“华尔街日报”(The Journal)的聊天采访,自称是该组织的成员。

SunCrypt最近侵入了北卡罗来纳州韦恩斯维尔的海伍德县学校,并于8月下旬开始发布该学区的数据。这个拥有7100名学生的学区表示,它叫来了执法部门,但由于联邦调查仍在继续,该学区拒绝进一步置评。

这位自称SunCrypt成员的人士说,该组织要求该学区提供约50万美元,约占该学区6月份290万美元普通储备基金的17%。

海伍德发布的第一批信息包括行政文件,如员工手机名录和缺勤学生名单。专家说,第一次倾倒通常包含最不敏感的信息,通常被用作盗窃的证据或支付的警告。

这位自称SunCrypt成员的人士说,该组织没有计划发布海伍德的更多信息,称其球探错误地认为这是一所私立大学。他们表示,该集团向一些实体提供了“新冠肺炎折扣”,并在该学区涉及第三方--在本案中是执法部门--时,终止了与海伍德的谈判。

布鲁克斯说,在雅典,黑客锁定了该学区的大约30台服务器以及备份服务器,并感染了数百台连接到该网络的电脑。这起袭击事件在新学年开始前六天暂停了学生注册。

在最初的弹出消息中,黑客提供了进入暗网的链接和说明。布鲁克斯得到了该地区地区教育服务中心(Region Education Service Center)技术专家布伦特·戈尔纳(Brent Goerner)的帮助。该中心由州政府设立,旨在提供一系列支持服务。

第二天,布鲁克斯按照黑客的指示,来到了一个聊天窗口。

“您需要解密多少台PC?”黑客问道。布鲁克斯认为这个问题的意思是:需要用黑客在收到付款后给他的解密密钥解锁多少台服务器和电脑。

黑客还没来得及回答,就说:“我想要每台PC机5万美元。”

布鲁克斯原本打算协商这个数字,但还没来得及开始,黑客就告诉他,它掌握着200多台小区设备的解密密钥。

这位黑客在聊天中说:“你看,我有一大串钥匙。”“200多台电脑。”

“如果我们只需要20台PC呢?”布鲁克斯问道,他认为该学区可能只需要某些服务器的解密密钥--主要是那些保存学生和财务数据的关键服务器。

“他们不会让你付钱,也不会帮你解密文件,”黑客在聊天中说。“而且你会永远丢失数据。”

布鲁克斯回答说:“我们不是在和警方谈话。我只想看看我们怎么才能想出Money…。我们正在与你们合作,希望解密我们的数据。“。

他补充道:“我们怎么知道一旦我们付钱给你,我们的文件就不会被重新加密呢?”

黑客说:“是的。我要除掉你,…。告诉你在哪里可以堵住我们穿透的洞。“。

黑客向付费受害者提供这样的安全报告,告诉他们是如何被黑客攻击的,这并不少见。一些网络安全专家质疑这类报道的准确性,并阻止受害者付费。

网络安全公司Emsisoft的威胁分析师布雷特·卡洛(Brett Clow)说:“如果资金流停止,攻击就会停止。”Emsisoft还开发解密工具来解锁文件。“另一种选择是,网络罪犯将继续变得更有资源,更有动力。这是一个恶性循环。“。

今年6月,加州大学旧金山分校(University of California,San Francisco)向一名黑客支付了114万美元的赎金。该大学在一份书面声明中表示,之所以决定付费,是因为黑客加密了包括研究在内的重要学术工作的数据。

Coveware发现,一旦支付赎金,黑客向受害者交付解密工具的比率约为97%。但该公司最近报告称,一些黑客在付款后仍持有数据,可能会将其出售给其他黑客,或者利用这些数据重新敲诈受害者。

联邦调查局鼓励受害者联系当地的联邦调查局外地办事处,不支持支付赎金,因为这会鼓励黑客以其他人为目标,但表示理解,面临无法运作的组织将评估所有保护员工和客户的选择。

在密西西比州蒂普勒斯维尔(Tiplersville)农村地区有1250名学生的北蒂帕学区(North Tippah School),一名单独的技术总监负责监督该学区的运营,该学区在8月份遭到黑客攻击。警司斯科特·史密斯(Scott Smith)说,“我不需要和太多人交谈,问‘我们从这里怎么办?’”他补充说,该学区没有支付赎金,但由于此事仍在解决中,他拒绝透露更多信息。

根据Emsisoft的说法,黑客可以进入受害者的系统数天或数周,让他们有时间在部署勒索软件之前窃取数据。一旦他们真的接管了,他们就会将其视为一笔金融交易,一些人甚至将受害者称为客户。

“…。这是生意。“黑客在他们谈话结束时告诉布鲁克斯。

在紧急会议上,雅典学校董事会批准在袭击发生后的第二天支付5万美元的赎金。由于黑客攻击,董事会还将新学年推迟了一周。一些社区成员不喜欢付钱给黑客,但该地区表示,他们别无选择。

他说:“没有人想这样做。这感觉糟透了,“雅典警局局长珍妮·西姆斯(Janie Sims)说。“但如果我们不付钱,情况可能会更糟。学校可能延误了好几个星期。我们觉得我们必须这么做。“。

布鲁克斯自责。他说:“我觉得自己完全是个失败者。”他不确定黑客是如何进入的,但他认为,一名在服务器上工作的供应商留下了一个会议应用程序,这给了黑客一条进入系统的途径。

袭击发生两天后,几乎没有睡觉的布鲁克斯在深夜给西姆斯医生打了个电话。他有了一个重大发现--一个备份服务器的副本保存着来自被攻破的关键服务器的数据。

“我从椅子上跳了起来,”布鲁克斯说。“我在尖叫,‘是的,是的!’”

他切断了与黑客的通讯,黑客没有提到发布学校的任何数据。

布鲁克斯说,工程师们没有发现任何信息被盗的迹象--看起来黑客只是锁定了服务器,没有带走任何数据。电脑硬盘被擦除并重新安装。

在2020年11月14日的印刷版中,黑客以新一波网络攻击中的学校为目标。