Vụ vi phạm Học khu Thống nhất LA (LAUSD) cho thấy sự phổ biến của các lỗ hổng mật khẩu, khi tin tặc tội phạm tiếp tục sử dụng thông tin đăng nhập bị vi phạm trong các cuộc tấn công ransomware ngày càng thường xuyên vào giáo dục.
Vụ vi phạm LAUSD vào cuối tuần của Ngày Lao động đã gây ra sự gián đoạn đáng kể trên toàn học khu đối với việc truy cập vào email, máy tính và ứng dụng. Không rõ những dữ liệu của sinh viên hoặc nhân viên mà những kẻ tấn công đã xâm nhập.
Có một xu hướng đáng kể về vi phạm ransomware trong giáo dục, một lĩnh vực rất dễ bị tổn thương. Bản chất nhất thời của học sinh khiến tài khoản và mật khẩu dễ bị tấn công. Môi trường mở mà các trường học tạo ra để thúc đẩy sự khám phá của học sinh và sự ngây thơ tương đối trong lĩnh vực này liên quan đến các cuộc tấn công mời gọi an ninh mạng.
Vụ vi phạm tại LAUSD và những gì đã xảy ra sau đó
Bốn ngày sau khi vi phạm, các báo cáo được đưa ra rằng bọn tội phạm đã cung cấp thông tin đăng nhập cho các tài khoản bên trong mạng của khu học chánh để bán trên dark web vài tháng trước cuộc tấn công. Thông tin đăng nhập bị đánh cắp bao gồm các địa chỉ email có hậu tố @lausd.net làm tên người dùng và mật khẩu bị vi phạm.
LAUSD đã trả lời trong bản cập nhật của mình rằng "thông tin đăng nhập email bị xâm phạm được báo cáo được tìm thấy trên các trang web bất chính không liên quan đến cuộc tấn công này, như đã được chứng thực bởi các cơ quan điều tra liên bang." Báo cáo vi phạm LAUSD đã xác nhận FBI và CISA là điều tra viên.
FBI và CISA và các sự kiện xung quanh vụ vi phạm xác nhận rằng các tác nhân đe dọa có thể đã sử dụng thông tin đăng nhập bị xâm phạm để có quyền truy cập ban đầu vào mạng LAUSD nhằm khẳng định quyền kiểm soát đối với các mật khẩu ngày càng đặc quyền.
FBI và CISA đã quan sát thấy nhóm ransomware Vice Society, nhóm này đã ghi công cho cuộc tấn công, sử dụng các TTP bao gồm "đặc quyền leo thang, sau đó giành quyền truy cập vào tài khoản quản trị viên miền". Nhóm ransomware đã sử dụng các tập lệnh để thay đổi mật khẩu tài khoản mạng nhằm ngăn tổ chức nạn nhân khắc phục vi phạm.
Đặc quyền leo thang giả định rằng những kẻ tấn công có đặc quyền leo thang, có nghĩa là chúng đã có quyền truy cập và mật khẩu bị xâm phạm ngay từ đầu cuộc tấn công.
Như cố vấn của FBI và CISA đã giải thích, "Các tác nhân của Vice Society có khả năng có được quyền truy cập mạng ban đầu thông qua thông tin đăng nhập bị xâm phạm bằng cách khai thác các ứng dụng đối mặt với internet."
Trang web LAUSD khuyên chủ tài khoản nên truy cập ứng dụng MyData của mình tại https://mydata.lausd.net, sử dụng "Thông tin đăng nhập một lần (tức là tên người dùng và mật khẩu email LAUSD). Một cách để đảm bảo đăng nhập một lần của bạn đang hoạt động là đăng nhập vào "Inside LAUSD" trên trang chủ LAUSD www.lausd.net."
Trang chủ, email và SSO là những ứng dụng có thể khai thác trên internet. Tin tặc truy cập email thông qua mật khẩu bị xâm phạm có thể sử dụng SSO để truy cập dữ liệu trên toàn bộ ứng dụng MyData và bất kỳ ứng dụng nào cho phép truy cập thông qua SSO.
Sau khi vi phạm, LAUSD yêu cầu nhân viên và học sinh trực tiếp đặt lại mật khẩu của họ trên trang web của học khu tại một địa điểm của khu học chánh cho hậu tố email @LAUSD.net trước khi họ có thể đăng nhập vào hệ thống của học khu. Đó là điều họ sẽ làm trong trường hợp mật khẩu email bị xâm phạm để ngăn chặn sự xâm phạm thêm.
Sự gia tăng của các cuộc tấn công ransomware vào giáo dục trong năm nay
Các nhóm ransomware thường nhắm mục tiêu vào giáo dục, với các tác động bao gồm truy cập trái phép và đánh cắp nhân viên và PII của học sinh. Sự gia tăng của giáo viên, nhân viên và học sinh làm việc và học tập trực tuyến đã mở rộng bối cảnh mối đe dọa, với các cuộc tấn công ransomware vào giáo dục có xu hướng gia tăng kể từ năm 2019. .
FBI đã xác nhận các mật khẩu giáo dục bị xâm phạm để bán, bao gồm một quảng cáo web tối cho 2,000 tên người dùng và mật khẩu của trường đại học Hoa Kỳ trên hậu tố miền .edu, vào năm 2020. Vào năm 2021, FBI đã xác định 36,000 kết hợp email và mật khẩu cho các tài khoản trên miền .edu trên nền tảng nhắn tin tức thời có sẵn công khai.
Năm nay, FBI đã tìm thấy nhiều diễn đàn tội phạm mạng của Nga bán hoặc tiết lộ thông tin đăng nhập mạng và quyền truy cập VPN vào "vô số các trường đại học và cao đẳng có trụ sở tại Hoa Kỳ đã được xác định, một số bao gồm ảnh chụp màn hình làm bằng chứng truy cập".
Tăng cường bảo mật cho năm 2023
Những kẻ tấn công mua và bán mật khẩu bị vi phạm trên dark web bởi hàng triệu người, biết rằng, do sử dụng lại mật khẩu, thông tin đăng nhập trung bình cấp quyền truy cập vào nhiều tài khoản. Tin tặc tội phạm tin tưởng vào nó để họ có thể nhét mật khẩu bị vi phạm vào các trang đăng nhập để truy cập trái phép. Việc truy cập bất hợp pháp vào tài khoản đó cho phép tin tặc truy cập vào dữ liệu nhạy cảm, khai thác mạng mở và thậm chí tiêm ransomware.
Chính sách mật khẩu Specops với Bảo vệ mật khẩu bị vi phạm so sánh mật khẩu trong Active Directory của bạn với hơn 2 tỷ mật khẩu bị vi phạm. Specops vừa thêm hơn 13 triệu mật khẩu mới bị vi phạm vào danh sách trong bản cập nhật mới nhất của nó. Specops Breached Password Protection so sánh mật khẩu Active Directory với danh sách cập nhật liên tục các thông tin đăng nhập bị xâm phạm.
Đối với mỗi lần thay đổi hoặc đặt lại mật khẩu Active Directory, Bảo vệ bằng mật khẩu bị vi phạm sẽ chặn việc sử dụng bất kỳ mật khẩu bị xâm phạm nào với phản hồi động về lý do tại sao mật khẩu bị chặn.