El FBI, CISA y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están dando la voz de alarma sobre el aumento de los objetivos de una banda de ransomware en el sector de la educación.
En un aviso conjunto esta semana, las tres agencias advierten que un actor de amenazas rastreado como ‘Vice Society’ ha estado “atacando de manera desproporcionada al sector educativo con ataques de ransomware”.
Los ataques de ransomware dirigidos al sector educativo, especialmente K-12, no son infrecuentes, y las agencias gubernamentales de EE. UU. esperan un aumento de los ataques a medida que comienza el año escolar 2022/2023.
“Los distritos escolares con capacidades limitadas de seguridad cibernética y recursos limitados suelen ser los más vulnerables; sin embargo, los objetivos oportunistas que a menudo se ven con los delincuentes cibernéticos aún pueden poner en riesgo a los distritos escolares con programas sólidos de seguridad cibernética”, dice el aviso.
El aviso se emitió el mismo día en que un enorme distrito escolar de Los Ángeles fue atacado con un ataque de ransomware que provocó un cierre sin precedentes de sus sistemas informáticos.
El impacto de los ataques de ransomware en las instituciones K-12 puede variar desde la cancelación de días escolares hasta el acceso restringido a los datos, retrasos en los exámenes y el robo de información personal que pertenece tanto a los estudiantes como al personal.
“Las instituciones K-12 pueden verse como objetivos particularmente lucrativos debido a la cantidad de datos confidenciales de los estudiantes accesibles a través de los sistemas escolares o sus proveedores de servicios administrados”, dicen el FBI, CISA y MS-ISAC.
Activo desde el verano de 2021, Vice Society es un grupo de hacking que se dedica a la intrusión, la exfiltración de datos y la extorsión, y que emplea varias familias de ransomware, incluidas versiones de Hello Kitty/Five Hands y Zeppelin ransomware , se lee en el aviso conjunto.
Es probable que Vice Society obtenga acceso a redes específicas a través de credenciales comprometidas mediante la explotación de aplicaciones orientadas a Internet. A continuación, se utilizan herramientas como SystemBC, PowerShell Empire y Cobalt Strike para el movimiento lateral.
Antes de implementar el ransomware, el adversario explora la red violada para identificar y extraer datos de interés, que luego se utilizan para presionar a la víctima para que pague un rescate.
El actor de amenazas ha explotado las vulnerabilidades de PrintNightmare (CVE-2021-1675 y CVE-2021-34527 ) para la escalada de privilegios y el uso de tareas programadas y claves de registro de inicio automático para la persistencia.
El grupo de hackeo también emplea la carga lateral de DLL e intenta evadir la detección mediante la inyección de procesos y disfrazando su malware como archivos legítimos.
“Se ha observado que los actores de Vice Society aumentan los privilegios, luego obtienen acceso a las cuentas de administrador de dominio y ejecutan scripts para cambiar las contraseñas de las cuentas de red de las víctimas para evitar que la víctima repare”, dicen las agencias estadounidenses.
Se recomienda a las organizaciones mantener copias de seguridad de datos fuera de línea, cifrar copias de seguridad, monitorear conexiones remotas externas, restringir la ejecución de programas desconocidos, implementar autenticación multifactor, auditar cuentas de usuario, implementar segmentación de red, monitorear actividad anormal, deshabilitar puertos no utilizados, mantener sistemas y aplicaciones actualizadas, e implementar un plan de recuperación.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.