Το FBI, η CISA και το Πολυπολιτειακό Κέντρο Διαμοιρασμού και Ανάλυσης Πληροφοριών (MS-ISAC) κρούουν τον κώδωνα του κινδύνου για την αυξημένη στόχευση μιας συμμορίας ransomware στον τομέα της εκπαίδευσης.
Σε μια κοινή συμβουλευτική αυτή την εβδομάδα, οι τρεις υπηρεσίες προειδοποιούν ότι ένας παράγοντας απειλής που παρακολουθείται ως «Vice Society» «στοχεύει δυσανάλογα τον τομέα της εκπαίδευσης με επιθέσεις ransomware».
Οι επιθέσεις ransomware που στοχεύουν τον τομέα της εκπαίδευσης, ειδικά το K-12, δεν είναι ασυνήθιστες και οι κυβερνητικές υπηρεσίες των ΗΠΑ αναμένουν αύξηση των επιθέσεων καθώς ξεκινά το σχολικό έτος 2022/2023.
«Οι σχολικές περιοχές με περιορισμένες δυνατότητες κυβερνοασφάλειας και περιορισμένους πόρους είναι συχνά οι πιο ευάλωτες. Ωστόσο, η ευκαιριακή στόχευση που παρατηρείται συχνά με εγκληματίες στον κυβερνοχώρο μπορεί να θέσει σε κίνδυνο σχολικές περιφέρειες με ισχυρά προγράμματα κυβερνοασφάλειας», συμβουλευτική αναφέρει
Η ειδοποίηση εκδόθηκε την ίδια ημέρα που μια τεράστια σχολική περιφέρεια του Λος Άντζελες χτυπήθηκε με επίθεση ransomware που προκάλεσε έναν άνευ προηγουμένου τερματισμό λειτουργίας των συστημάτων υπολογιστών της.
Ο αντίκτυπος από επιθέσεις ransomware σε ιδρύματα K-12 μπορεί να κυμαίνεται από ακυρωμένες σχολικές ημέρες έως περιορισμένη πρόσβαση σε δεδομένα, καθυστερήσεις στις εξετάσεις και κλοπή προσωπικών πληροφοριών που ανήκουν τόσο σε μαθητές όσο και σε προσωπικό.
«Τα ιδρύματα K-12 μπορεί να θεωρηθούν ως ιδιαίτερα προσοδοφόροι στόχοι λόγω του όγκου των ευαίσθητων δεδομένων μαθητών που είναι προσβάσιμα μέσω των σχολικών συστημάτων ή των διαχειριζόμενων παρόχων υπηρεσιών τους», λένε το FBI, η CISA και η MS-ISAC.
Ενεργό από το καλοκαίρι του 2021, το Vice Society είναι μια ομάδα hacking που δραστηριοποιείται σε εισβολή, διείσδυση δεδομένων και εκβιασμό και χρησιμοποιεί διάφορες οικογένειες ransomware, συμπεριλαμβανομένων των εκδόσεων του Hello Kitty/Five Hands και Zeppelin ransomware, αναφέρει η κοινή συμβουλευτική.
Το Vice Society πιθανότατα αποκτά πρόσβαση σε στοχευμένα δίκτυα μέσω παραβιασμένων διαπιστευτηρίων εκμεταλλευόμενη εφαρμογές που αντιμετωπίζουν το Διαδίκτυο. Στη συνέχεια, εργαλεία όπως το SystemBC, το PowerShell Empire και το Cobalt Strike χρησιμοποιούνται για πλευρική κίνηση.
Πριν από την ανάπτυξη ransomware, ο αντίπαλος εξερευνά το παραβιασμένο δίκτυο για να εντοπίσει και να διεισδύσει σε δεδομένα ενδιαφέροντος, τα οποία στη συνέχεια χρησιμοποιούνται για να πιέσουν το θύμα να πληρώσει λύτρα.
Ο παράγοντας απειλών έχει εκμεταλλευτεί τα PrintNightmare (CVE-2021-1675 και CVE-2021-34527) για κλιμάκωση προνομίων και χρησιμοποιεί προγραμματισμένες εργασίες και κλειδιά μητρώου αυτόματης εκκίνησης για επιμονή.
Η ομάδα hacking χρησιμοποιεί επίσης πλευρική φόρτωση DLL και προσπαθεί να αποφύγει τον εντοπισμό χρησιμοποιώντας ένεση διεργασίας και μεταμφιέζοντας το κακόβουλο λογισμικό τους ως νόμιμα αρχεία.
«Παρατηρήθηκαν παράγοντες του Vice Society να κλιμακώνουν τα προνόμια, μετά να αποκτούν πρόσβαση σε λογαριασμούς διαχειριστή τομέα και να τρέχουν σενάρια για να αλλάξουν τους κωδικούς πρόσβασης των λογαριασμών δικτύου των θυμάτων για να αποτρέψουν το θύμα από την αποκατάσταση», αναφέρουν οι αμερικανικές υπηρεσίες.
Συνιστάται στους οργανισμούς να διατηρούν αντίγραφα ασφαλείας δεδομένων εκτός σύνδεσης, να κρυπτογραφούν αντίγραφα ασφαλείας, να παρακολουθούν εξωτερικές απομακρυσμένες συνδέσεις, να περιορίζουν την εκτέλεση άγνωστων προγραμμάτων, να εφαρμόζουν έλεγχο ταυτότητας πολλαπλών παραγόντων, να ελέγχουν λογαριασμούς χρηστών, να εφαρμόζουν τμηματοποίηση δικτύου, να παρακολουθούν ανώμαλη δραστηριότητα, να απενεργοποιούν τις αχρησιμοποίητες θύρες, να διατηρούν συστήματα και οι εφαρμογές ενημερώθηκαν και εφαρμόστε ένα σχέδιο αποκατάστασης.