洛杉磯學區在最近關閉前被警告勒索軟件威脅

在勞動節周末發動勒索軟件攻擊后，洛杉磯聯合學區（LAUSD）現在正慢慢恢復容量，這導致計算機系統前所未有地關閉，試圖遏制惡意軟件的影響。對美國第二大學區LAUSD的襲擊使官員們處于高度戒備狀態，擔心學校管理系統的封鎖和未經授權訪問學生數據引發了聯邦、州和地方合作伙伴的反應。

但這并不是LAUSD系統第一次暴露于勒索軟件，也不是該地區收到的第一個勒索軟件警告。Hold Security首席執行官亞歷克斯·霍爾頓（Alex Holden）證實，2021，在系統受損后，這些系統險些再次遭到類似攻擊。

霍爾頓告訴科技博客他的公司在LAUSD的系統上發現了一個被TrickBot banking特洛伊木馬入侵的設備，該木馬能夠從目標系統竊取金融憑證，還可以用于安裝更具破壞性的惡意軟件，如勒索軟件。（記者杰里米·柯克在推特上首次強調了2021的入侵事件。）

霍頓說，勞埃德是通過第三方得到通知的，并被認為已經采取了行動。不久之后，被破壞的設備從TrickBot僵尸網絡中消失。霍頓將這些事件描述為對學區的一次“千鈞一發”，并補充說，“不幸的是，這一次結果不同”。

LAUSD共有60多萬名學生，這意味著襲擊的潛在影響是巨大的。在9月7日發布的一份新聞稿中，該地區表示，該地區仍在向全面運營能力邁進，但在重新接入系統方面遇到了困難。

周二，學區表示已重置了53000多個學生和員工密碼。但這一謹慎步驟也帶來了更多問題。

聲明中寫道：“雖然捷運局通過關閉所有系統攔截攻擊的能力是避免災難性破壞的快速、果斷和謹慎行動，但事實證明，從中斷中恢復比最初預期的更具挑戰性”。“密碼重置一直是洛杉磯聯合大學最大的挑戰，因為學生和員工必須在學區現場完成重置。”

盡管存在密碼問題，LAUSD仍然設法使許多其他系統恢復到運行狀態。本周早些時候，LAUSD負責人阿爾貝托·卡瓦略（Alberto Carvalho）在推特上表示，一些關鍵系統已在兩小時內恢復。

@LASchoolsITD在2小時內恢復了MISI，我們的系統現在支持數字考勤報告。我們的團隊正在迅速工作，使整個地區的所有職能正常化。pic.twitter.com/NFFdDp4vWD

— Alberto M. Carvalho (@LAUSDSup) September 6, 2022

但專家表示，從這樣的襲擊中完全恢復并不是很快就能做到的。反勒索軟件平臺Halcyon的首席執行官兼聯合創始人Jon Miller告訴科技博客即使表面上恢復的系統也可能脆弱。

Miller說，攻擊者通常會使用受損的登錄憑證找到目標，或者找到其他方法繞過網絡上安裝的安全產品。在某些情況下，這些技術使黑客在嘗試修復時能夠持久訪問網絡。

“即使受害者有備份，他們也需要花費數周甚至數月的時間進行昂貴的恢復和事件響應，必須完成這些工作，以確保網絡能夠安全地再次全面運行，”他說。

LAUSD可能是美國最大的學區之一，但在處理勒索軟件攻擊方面，它遠不是唯一一個。Doug Levin維護了一個公開披露的學校網絡安全事件數據庫，他指出科技博客在LAUSD攻擊一個月內發生的其他四起學校勒索軟件事件。

萊文認為，造成學校脆弱的因素從資源限制到學校領導層未能跟上學習環境的數字化轉變。但決策者也有責任讓學校制定自己的網絡準備標準。

“在網絡安全政策方面，學區對支持的需求在很大程度上被忽視了，”萊文說。

盡管如此，在襲擊發生后，聯邦官員警告說，針對學校的勒索軟件襲擊可能會增加。

聯邦調查局、網絡安全和基礎設施安全局（CISA）和多州信息共享和分析中心（MS-ISAC）的聯合網絡安全顧問警告說，聯邦機構“觀察到……行為體不成比例地以勒索軟件攻擊教育部門”。

該咨詢稱，由于勒索軟件組織看到了成功攻擊的機會，2022-2023學年對學校的網絡攻擊可能會增加，K-12機構因其處理的敏感學生數據量而成為有吸引力的目標。