Sự vi phạm của Học khu Thống nhất LA (LAUSD) làm nổi bật sự phổ biến của các lỗ hổng mật khẩu, khi các tin tặc tội phạm tiếp tục sử dụng thông tin đăng nhập bị vi phạm trong các cuộc tấn công ransomware ngày càng thường xuyên vào giáo dục.
Việc vi phạm LAUSD vào cuối tuần của Ngày Lao động đã gây ra sự gián đoạn đáng kể trên toàn học khu để truy cập vào email, máy tính và ứng dụng. Không rõ những kẻ tấn công đã lấy dữ liệu của sinh viên hoặc nhân viên nào.
Có một xu hướng đáng kể về các vụ vi phạm ransomware trong giáo dục, một lĩnh vực rất dễ bị tấn công. Tính chất nhất thời của sinh viên khiến tài khoản và mật khẩu dễ bị tấn công. Môi trường mở mà các trường tạo ra để thúc đẩy sự khám phá của học sinh và sự ngây thơ tương đối trong lĩnh vực an ninh mạng mời gọi các cuộc tấn công.
Vụ vi phạm tại LAUSD và những gì đã xảy ra sau đó
Bốn ngày sau khi vi phạm, các báo cáo cho thấy bọn tội phạm đã cung cấp thông tin đăng nhập cho các tài khoản bên trong mạng của khu học chánh để bán trên dark web vài tháng trước khi vụ tấn công xảy ra. Thông tin đăng nhập bị đánh cắp bao gồm địa chỉ email có hậu tố @ lausd.net làm tên người dùng và mật khẩu vi phạm.
LAUSD đã trả lời trong bản cập nhật của mình rằng “thông tin đăng nhập email bị xâm phạm được báo cáo tìm thấy trên các trang web bất chính không liên quan đến cuộc tấn công này, như đã được các cơ quan điều tra liên bang chứng thực.” Báo cáo vi phạm LAUSD đã xác nhận FBI và CISA là các nhà điều tra.
FBI và CISA và các dữ kiện xung quanh vụ vi phạm xác nhận rằng các tác nhân đe dọa có thể đã sử dụng thông tin đăng nhập bị xâm phạm để có được quyền truy cập ban đầu vào mạng LAUSD nhằm khẳng định quyền kiểm soát đối với các mật khẩu ngày càng có đặc quyền.
FBI và CISA đã quan sát thấy nhóm ransomware của Vice Society, nhóm này đã ghi công cho vụ tấn công, sử dụng TTP bao gồm “các đặc quyền leo thang, sau đó giành quyền truy cập vào tài khoản quản trị viên miền”. Nhóm ransomware đã sử dụng các tập lệnh để thay đổi mật khẩu tài khoản mạng nhằm ngăn tổ chức nạn nhân khắc phục vi phạm.
Đặc quyền leo thang giả định những kẻ tấn công có đặc quyền để leo thang, có nghĩa là họ đã có quyền truy cập và mật khẩu bị xâm phạm ngay từ đầu cuộc tấn công.
Như cố vấn của FBI và CISA giải thích, “Các thành viên của Vice Society có thể có được quyền truy cập mạng ban đầu thông qua các thông tin xác thực bị xâm phạm bằng cách khai thác các ứng dụng sử dụng internet.”
Trang web LAUSD khuyên các chủ tài khoản truy cập ứng dụng MyData của nó tại https://mydata.lausd.net, sử dụng “Thông tin đăng nhập Một lần (tức là tên người dùng và mật khẩu email LAUSD). Một cách để đảm bảo Đăng nhập Một lần của bạn đang hoạt động là đăng nhập vào “Inside LAUSD” trên trang chủ LAUSD www.lausd.net. ”
Trang web LAUSD: Làm cách nào để đăng nhập? trang
Trang chủ, email và SSO là những ứng dụng có thể khai thác trên internet. Tin tặc truy cập email thông qua mật khẩu bị xâm phạm có thể sử dụng SSO để truy cập dữ liệu trong ứng dụng MyData và bất kỳ ứng dụng nào cho phép truy cập qua SSO.
Sau khi vi phạm, LAUSD đã yêu cầu nhân viên và học sinh trực tiếp đặt lại mật khẩu của họ trên trang web của học khu tại địa điểm của khu học chánh cho hậu tố email @ LAUSD.net trước khi họ có thể đăng nhập vào hệ thống của nó. Đó là điều họ sẽ làm trong trường hợp mật khẩu email bị xâm phạm để ngăn chặn sự xâm nhập thêm.
Sự gia tăng của các cuộc tấn công ransomware vào giáo dục trong năm nay
Các nhóm ransomware thường nhắm mục tiêu vào giáo dục, với các tác động bao gồm truy cập trái phép và trộm cắp thông tin cá nhân của nhân viên và học sinh. Sự tham gia của giáo viên, nhân viên và học sinh làm việc và học tập trực tuyến đã mở rộng cảnh quan về mối đe dọa, với các cuộc tấn công ransomware vào giáo dục có xu hướng tăng kể từ năm 2019.
FBI đã xác nhận mật khẩu giáo dục bị xâm phạm để bán, bao gồm một quảng cáo web tối cho 2.000 tên người dùng và mật khẩu của trường đại học Hoa Kỳ trên hậu tố tên miền .edu, vào năm 2020. Vào năm 2021, FBI đã xác định được 36.000 tổ hợp email và mật khẩu cho các tài khoản trên tên miền .edu trên một nền tảng nhắn tin tức thời có sẵn công khai.
Năm nay, FBI đã phát hiện nhiều diễn đàn tội phạm mạng của Nga bán hoặc tiết lộ thông tin đăng nhập mạng và quyền truy cập VPN vào “vô số trường đại học và cao đẳng đã được xác định tại Hoa Kỳ, một số bao gồm cả ảnh chụp màn hình làm bằng chứng truy cập.”
Tăng cường an ninh cho năm 2023
Những kẻ tấn công mua và bán mật khẩu bị vi phạm trên dark web của hàng triệu người, biết rằng do việc sử dụng lại mật khẩu, thông tin xác thực trung bình cấp quyền truy cập vào nhiều tài khoản. Tin tặc tội phạm tin tưởng vào nó để họ có thể nhét mật khẩu vi phạm vào các trang đăng nhập để truy cập trái phép. Việc truy cập bất hợp pháp vào tài khoản cho phép tin tặc có quyền truy cập vào dữ liệu nhạy cảm, khai thác mạng mở và thậm chí đưa ransomware.
Specops Password Policy with Breached Password Protection so sánh mật khẩu trong Active Directory của bạn với hơn 2 tỷ mật khẩu bị vi phạm. Specops vừa thêm hơn 13 triệu mật khẩu mới bị vi phạm vào danh sách trong bản cập nhật mới nhất. Specops Breached Password Protection so sánh mật khẩu Active Directory với danh sách thông tin đăng nhập bị xâm phạm được cập nhật liên tục.
Đối với mỗi lần thay đổi hoặc đặt lại mật khẩu Active Directory, Bảo vệ mật khẩu bị xâm phạm sẽ chặn việc sử dụng bất kỳ mật khẩu nào bị xâm phạm với phản hồi động về lý do tại sao mật khẩu đó bị chặn. Nếu bạn đang tìm cách bảo vệ tổ chức giáo dục của mình hoặc bất kỳ doanh nghiệp nào cho vấn đề đó, bạn có thể kiểm tra miễn phí Specops Breached Password Protection.
