CCSD 遭勒索軟件攻擊數據泄露，未支付贖金的受害者敏感信息被曝光

一位研究人員說，在 Clark County School District（克拉克縣學區（CCSD））拒絕支付贖金之后，他發現了一個開放的數據緩存，其中包含姓名，年級，生日和更多信息。

據報道，在包括拉斯維加斯(Las Vegas)在內的CCSD的學生的個人信息出現在一個地下論壇上，此前研究人員稱這是由Maze團伙進行的勒索軟件攻擊。

9月初，美聯社報道說，由于勒索軟件攻擊，該地區在開學的第一周就癱瘓了，有可能暴露出雇員的個人信息，包括姓名和社會安全號碼。CCSD通過Facebook帖子迅速確認了該報告，并指出在8月27日學校開始在線三天后，它發現學校的許多文件都無法訪問-盡管沒有在線學習平臺受到影響。當時它說“可能已經訪問了一些私人信息。”

本周，Emisoft的威脅分析師Brett Callow告訴《華爾街日報》，學生信息已經在一個地下論壇中出現。

Callow說，攻擊者上周開了警告槍，想必是為了報復CCSD沒有支付一筆未披露的贖金。他說，攻擊者發布了一個非敏感文件來表明他們具有數據訪問權限。當沒有任何回應時，他們發布了許多敏感信息。該信息包括員工的社會安全號碼，地址和退休文件；和學生數據，例如姓名，年級，出生日期，地址和就讀學校。黑客還宣布，該數據泄露代表了其從CCSD網絡中竊取的所有信息。

當Threatpost與Emisoft聯系以獲取有關數據緩存的更多詳細信息時，Callow說，犯罪分子（特別是Maze幫派）總共發布了大約25GB的數據。

他還說，訪問信息不需要密碼。

他對Threatpost說：“數據在透明和深色網上的泄漏站點上發布。” “知道互聯網網址的任何人都可以訪問它。”

就該地區而言，該地區周一在一份聲明中表示，該報告尚未得到驗證：“國家媒體正在報道有關CCSD于2020年8月27日首次宣布的數據安全事件的信息。警方正努力查明這起事件的全部性質和范圍，并正在與執法部門合作。學區無法核實媒體報道中的許多要求。隨著調查的繼續，CCSD將單獨通知受影響的個人。”

卡洛告訴Threatpost，“數據肯定看起來是合法的。”

Threatpost向CCSD咨詢了有關贖金金額和其他詳細信息的更多信息。說到敲詐勒索，7月在德克薩斯州雅典學區發生的類似襲擊事件導致學校推遲了一周時間，該學區向攻擊者支付了5萬美元的贖金，以換取解密密鑰。

越來越多的勒索軟件運營商正在建立頁面，威脅要從受害者那里發布泄露的數據，這增加了受害者支付贖金的壓力。這種名為“雙重勒索”的勒索軟件策略最初出現在2019年末，由Maze運營商提出-但在過去幾個月里迅速被Clop、DoupelPaymer和Sodinokibi勒索軟件家族背后的各種網絡犯罪分子所采用。

Callow對Threatpost表示：“最近幾周，對學區的成功襲擊次數顯著增加，僅本月就有至少12人成為受害者。” “這些襲擊破壞了多達596所學校的學習。竊取數據的案件數量也有所增加：在12個地區中，至少有5個地區的數據被盜并在線發布。”

網絡安全公司ImmuniWeb的創始人兼首席執行官lia Kolochenko指出，如果父母選擇就該襲擊事件及其處理起訴該地區，那么CCSD的故事可能會變得混亂。

他在電子郵件中說：“可能最棘手的是受害者最終對學校提起訴訟。” “問題的關鍵在于，是否可以不支付贖金，阻止數據被發布，可以被解釋為對損害的補救措施沒有得到彌補，從而使學校應對這種具體的泄漏及其后果承擔民事責任。但是，金錢損失可能只是名義價值，最近在美國發生的類似數據泄露訴訟中就證明了這一點。最好的途徑可能是達成和解，為學生提供必要的支持，以消除數據泄露和暴露其個人身份信息[個人可識別信息]的合理可預見后果。

學校襲擊仍在繼續

大量的勒索軟件攻擊和其他網絡威脅困擾著返校計劃–似乎應對流行病對管理員來說壓力不大。

除Clark County和雅典事件外，9月初對Hartford.Conn的公立學校的襲擊還導致開學時間推遲。根據公開公告，勒索軟件導致關鍵系統中斷，包括學區的軟件系統，該系統可提供公共汽車路線的實時信息。

此外，最近針對北卡羅萊納州學區Haywood County Schools的勒索軟件攻擊使該學校關閉了幾天的學生。

安全研究人員表示，網絡攻擊可能會成為新的“snow day”，尤其是隨著大流行驅動的在線學習的到來。隨著學生準備重返校園，學校面臨著更加復雜的網絡威脅。例如，數據，監控和聯系追蹤的需求成為學生返回親自上課的關鍵因素，而遠程學生將有較長的時間連接互聯網。

同時，研究人員警告說，預計到2020年勒索軟件的整體數量將比去年增加7倍-有些病毒比其他病毒更令人擔憂。

“最受關注的勒索軟件變種之一是Ryuk，它被歸因于朝鮮和俄羅斯的威脅行為者，” Ordr的CSO Jeff Horne說。“ Ryuk可能很難檢測和遏制，因為最初的感染通常是通過垃圾郵件/網絡釣魚進行的，并且可以傳播和感染IoT / IoMT設備，就像我們在UHS醫院電話和放射學機器上所看到的那樣。一旦進入受感染的主機，它就可以從內存中拉出密碼，然后橫向移動開放共享，從而感染文檔和受感染的帳戶。”

他補充說，許多勒索軟件攻擊帶來了額外的痛苦。

他說：“一些威脅參與者仍在將Ryuk背在TrickBot，QakBot和Emotet等其他木馬/機器人的后面，其中一些可以利用EternalBlue漏洞進行傳播，”。