Enorme Distrito Escolar Unificado de Los Ángeles Afectado por Ciberataque

LOS ÁNGELES (AP) — Un ataque de ransomware contra el enorme distrito escolar de Los Ángeles provocó un cierre sin precedentes de sus sistemas informáticos, ya que las escuelas se encuentran cada vez más vulnerables a las infracciones cibernéticas al comienzo de un nuevo año.

El ataque al Distrito Escolar Unificado de Los Ángeles hizo sonar las alarmas en todo el país, desde conversaciones urgentes con la Casa Blanca y el Consejo de Seguridad Nacional después de que se descubrieran los primeros signos de ransomware el sábado por la noche hasta cambios de contraseña obligatorios para 540.000 estudiantes y 70.000 empleados del distrito.

Aunque el ataque usó tecnología que encripta datos y no los desbloqueará a menos que se pague un rescate, en este caso el superintendente del distrito dijo que no se hizo una demanda inmediata de dinero y que las escuelas en el segundo distrito más grande del país abrieron según lo programado el martes.

Tales ataques se han convertido en una amenaza creciente para las escuelas de EE. UU., con varios incidentes de alto perfil reportados desde el año pasado a medida que la dependencia de la tecnología forzada por la pandemia aumenta el impacto. Y las pandillas de ransomware han planeado en el pasado grandes ataques en los fines de semana festivos de EE. UU., cuando saben que el personal de TI será escaso y los expertos en seguridad se relajarán.

Si bien no quedó claro de inmediato cuándo comenzó el ataque de Los Ángeles (las autoridades solo dijeron cuándo se detectó y un portavoz del distrito se negó a responder preguntas adicionales), el descubrimiento del sábado por la noche llegó a los niveles más altos de las agencias de seguridad cibernética del gobierno federal.

Según un alto funcionario de la administración, este patrón de apoyo fue consistente con los esfuerzos de la administración de Biden para brindar la máxima asistencia a las industrias críticas afectadas por tales infracciones.

El funcionario, que habló bajo condición de anonimato para discutir la respuesta federal, dijo que el distrito escolar no pagó el rescate, pero no entraría en detalles sobre lo que potencialmente podría haber sido robado o dañado y qué sistemas se vieron afectados por la violación.

La respuesta de la Casa Blanca a la incursión en Los Ángeles refleja una creciente preocupación por la seguridad nacional: una encuesta del Pew Research Center, publicada el mes pasado, encontró que el 71 % de los estadounidenses dice que los ataques cibernéticos de otros países son una gran amenaza para los EE. UU.

Las autoridades creen que el ataque de Los Ángeles se originó internacionalmente y han identificado tres países potenciales de donde podría haber venido, aunque el superintendente de Los Ángeles, Alberto Carvalho, no dijo qué países podrían estar involucrados. La mayoría de los delincuentes de ransomware son hablantes de ruso y operan sin la interferencia del Kremlin.

Los funcionarios de Los Ángeles no identificaron el ransomware utilizado.

“Este fue un acto de cobardía”, dijo Nick Melvoin, vicepresidente de la junta escolar. “Un acto criminal contra los niños, contra sus maestros y contra un sistema educativo”.

En lo que va del año, 26 distritos escolares de EE. UU., incluido Los Ángeles, y 24 colegios y universidades han sido afectados por el llamado ransomware, según Brett Callow, analista de ransomware de la firma de seguridad cibernética Emsisoft.

Dado que las víctimas se niegan cada vez más a pagar para que se desbloqueen sus datos, muchos ciberdelincuentes utilizan la misma tecnología para robar información confidencial y exigir pagos de extorsión. Si la víctima no paga, los datos se descargan en línea.

Callow dijo que al menos 31 de las escuelas afectadas este año tenían datos robados y publicados en línea, y señaló que ocho de los distritos escolares han sido afectados desde el 1 de agosto. El aumento en las escuelas al final de las vacaciones de verano casi seguramente no es una coincidencia, dijo. .

“Es la amenaza número uno para nuestra seguridad”, dijo Michel Moore, jefe del Departamento de Policía de Los Ángeles. “Es un enemigo invisible y es incansable”.

Incansable y costoso, incluso fuera de cualquier demanda monetaria. Un ataque de extorsión de ransomware en el distrito escolar más grande de Albuquerque obligó a las escuelas a cerrar durante dos días en enero, mientras que la respuesta de la ciudad de Baltimore a un ataque en 2019 en sus servidores de computadora costó más de $ 18 millones.

El ataque de Los Ángeles se descubrió alrededor de las 10:30 p. m. del sábado cuando el personal detectó por primera vez “actividad inusual”, dijo Carvalho. Los perpetradores parecen haber apuntado a los sistemas de las instalaciones, que involucran información sobre pagos de contratistas del sector privado, que están disponibles públicamente a través de solicitudes de registros, en lugar de detalles confidenciales como nómina, salud y otros datos.

Dijo que los funcionarios de TI del distrito detectaron el malware y detuvieron su propagación, pero no hasta después de que infectó los sistemas de red clave, lo que requirió el restablecimiento de las contraseñas para todo el personal y los estudiantes.

Las autoridades se apresuraron a rastrear a los intrusos y restringir el daño potencial.

“Básicamente, apagamos cada uno de nuestros sistemas”, dijo Carvalho, y señaló que todos habían sido revisados ​​y todos menos uno, el sistema de las instalaciones, se reiniciaron el lunes por la noche, cuando el distrito notificó por primera vez al público sobre el golpe.

El martes, las autoridades federales advirtieron por separado sobre posibles ataques de ransomware por parte del sindicato criminal conocido como Vice Society, que supuestamente se ha dirigido de manera desproporcionada al sector educativo.

Las autoridades no han dicho si creen que Vice Society está involucrada en el ataque de Los Ángeles y el grupo no respondió a una solicitud de comentarios el martes.

“El hecho de que se emitiera un aviso de seguridad cibernética conjunto relacionado con Vice Society a los pocos días de que se descubriera el ataque al LAUSD puede ser revelador, especialmente porque esta pandilla ha atacado con frecuencia al sector educativo tanto en los EE. UU. como en el Reino Unido”, dijo Callow, el experto en ransomware.

Vice Society apareció por primera vez en mayo de 2021 y, en lugar de una variante única, ha utilizado ransomware ampliamente disponible en la clandestinidad de habla rusa, dicen los investigadores de seguridad. Entre las víctimas reclamadas por Vice Society se encuentran el distrito escolar de Elmbrook en Wisconsin y el Savannah College of Art and Design.

Las pandillas de ransomware se disuelven habitualmente después de ataques de alto perfil, como el incidente del Oleoducto Colonial del año pasado, que desencadenó corridas en las estaciones de servicio. Sus miembros luego se reconstituyen bajo nuevos nombres.

Si bien hubo presión para cancelar la escuela en Los Ángeles el martes, los funcionarios finalmente decidieron permanecer abiertos.

Si la actividad no se hubiera descubierto el sábado por la noche, Carvalho dijo que podría haber tenido consecuencias “catastróficas”.

“Si hubiéramos perdido la capacidad de hacer funcionar nuestros autobuses escolares, más de 40,000 de nuestros estudiantes no habrían podido ir a la escuela o habría sido un sistema muy interrumpido”, dijo.

El distrito planea hacer una auditoría forense del ataque para ver qué se puede hacer para prevenir futuras incursiones.

“Cada maestro, cada empleado, cada estudiante puede ser un punto débil”, dijo Soheil Katal, director de información del distrito.