Un trésor de données volumineuses abandonné après que le district scolaire unifié de LA a dit non aux escrocs de rançongiciels

Une équipe de rançongiciels se faisant appeler Vice Society a vidé près de 300 000 fichiers appartenant au district scolaire unifié de Los Angeles en guise de punition pour avoir refusé de payer au groupe des frais élevés pour récupérer les données volées lors d’une récente cyber-intrusion.

Les opérateurs de ransomware pénètrent les réseaux des cibles, chiffrent toutes leurs données, puis facturent aux victimes une rançon pour la clé de déchiffrement. Plus récemment, les groupes sont passés à un modèle de double extorsion, dans lequel ils publient également les données sur le dark web à moins que les victimes ne paient une rançon pour les garder privées. Déjà cette année, 27 districts scolaires avec 1 735 écoles parmi eux ont été piratés dans des incidents de ransomware, Brett Callow, analyste des menaces avec la société de sécurité Emsisoft, a dit.

Le district scolaire unifié de Los Angeles est le deuxième plus grand district scolaire des États-Unis, derrière le ministère de l’Éducation de la ville de New York, ce qui en fait une sorte de trophée pour les groupes de rançongiciels qui s’attaquent à ces organisations.

Vice Society est un groupe de rançongiciels russophone qui a émergé au cours des deux dernières années pour devenir une menace, principalement pour les petites et moyennes entreprises. Le groupe est spécialisé dans les attaques de rançongiciels opérés par l’homme, par opposition aux techniques d’attaque automatisées privilégiées par nombre de ses pairs. Callow a déclaré dans un message direct que le gang de la Vice Society avait attaqué au moins huit autres districts scolaires, collèges et universités américains jusqu’à présent en 2022.

Dans le passé, il a utilisé les vulnérabilités critiques des périphériques réseau de SonicWall et du jour zéro Windows connu sous le nom de PrintNightmare comme point d’entrée initial dans les entreprises qu’il a ciblées.

Le LAUSD a déclaré début septembre avoir subi une attaque de ransomware qui a créé des perturbations dans tout le district pour les e-mails, les systèmes informatiques et les applications. Quelques jours plus tard, la Cybersecurity and Infrastructure Security Administration a publié un avertissement indiquant que le groupe avait “ciblé de manière disproportionnée le secteur de l’éducation”.

Vendredi, les responsables du district ont déclaré qu’ils n’avaient aucune intention de payer une rançon aux acteurs de la menace.

“Los Angeles Unified reste ferme sur le fait que les dollars doivent être utilisés pour financer les étudiants et l’éducation”, ont-ils écrit. « Payer une rançon ne garantit jamais la récupération complète des données, et Los Angeles Unified pense que l’argent public est mieux dépensé pour nos étudiants plutôt que de capituler devant un syndicat du crime infâme et illicite. Nous continuons à progresser vers une stabilité opérationnelle totale pour plusieurs services informatiques de base. »

Vendredi, le surintendant du LAUSD, Alberto Carvalho, a été encore plus énergique dans son rejet des demandes du groupe.

“Ce que je peux vous dire, c’est que la demande – n’importe quelle demande – serait absurde”, a-t-il déclaré au Los Angeles Times. «Mais ce niveau de demande était, très franchement, insultant. Et nous ne sommes pas sur le point d’entamer des négociations avec ce type d’entité.

La déclaration de LAUSD de vendredi a averti les employés et les familles que le groupe était susceptible de réagir en publiant publiquement les données piratées.

Au cours du week-end, c’est précisément ce que Vice Society a fait sur son site de nom et honte. Le transport, qui, selon les chercheurs de la société de sécurité Checkpoint, comprenait plus de 284 000 fichiers, contient une grande variété de documents, d’images et d’autres documents. Une vidéo prétend faire partie d’un rapport d’incident et semble montrer le personnel du district surveillant un flux vidéo et répondant à d’autres membres du personnel sur une radio bidirectionnelle. D’autres documents répertorient les noms, les numéros de sécurité sociale, les registres de présence, les passeports non expurgés et d’autres informations sensibles des employés et des sous-traitants de l’école.

Comme de nombreuses municipalités, les districts scolaires sont particulièrement vulnérables aux attaques de ransomwares car ils utilisent fréquemment du matériel et des logiciels obsolètes.