Les cyberattaquants LA Unified demandent une rançon

Crédit :domaine public CC0

Les pirates qui ont ciblé le district scolaire unifié de Los Angeles ont demandé une rançon, ont confirmé mardi des responsables, ce qui indique que les attaquants ont extrait des données sensibles ou pensent qu'ils peuvent bluffer le district en lui faisant croire qu'ils l'ont fait.

"Nous pouvons confirmer qu'il y a eu une demande", a déclaré le surintendant des écoles de Los Angeles, Alberto Carvalho. "Il n'y a pas eu de réponse à la demande."

Carvalho a refusé de divulguer le montant de la demande de rançon ou toute autre information sur les informations, le cas échéant, que les attaquants pourraient détenir.

Il a déclaré qu'il n'y avait "pas de nouvelles failles de sécurité" et que le système scolaire continuait "la montée en puissance des applications et des systèmes".

Les responsables ont déclaré qu'ils étaient optimistes quant à la sécurité des numéros de sécurité sociale et d'autres informations sensibles des employés. Mais les perspectives pourraient être différentes en ce qui concerne les informations sur les étudiants, telles que les notes, les horaires des cours, les dossiers disciplinaires et le statut d'invalidité. Le district ne collecte pas les numéros de sécurité sociale des élèves et des parents.

Plus tôt, Carvalho avait révélé que les attaquants avaient prolongé leur délai pour entamer des négociations sans mentionner spécifiquement le montant de la rançon. Le district, a ajouté Carvalho, suit les conseils d'experts et des forces de l'ordre, qui comprennent le FBI ainsi que le département de police de Los Angeles.

Dans un développement connexe, les responsables fédéraux ont annoncé vendredi un nouveau programme de subventions majeur pour aider les organismes publics à mieux se protéger contre les cyberattaques.

La demande d'argent était largement anticipée à la suite de la cyberattaque, qui a été découverte en cours dans la nuit du 3 septembre, le samedi du week-end de la fête du Travail.

Les pirates menacent généralement de publier des données sensibles en ligne s'ils ne sont pas payés, mais il peut être difficile de déterminer ce qu'ils ont obtenu, et ils peuvent mentir.

En général, de tels paiements sont une mauvaise idée, a déclaré Clifford Neuman, directeur du Center for Computer Systems Security d'USC.

"Il est important pour toute organisation touchée par un rançongiciel de comprendre que même si elle paie une demande de rançon, elle encourra toujours des dépenses informatiques importantes et des retards pour réparer le système", a déclaré Neuman. "La meilleure action est de ne pas payer la rançon et de récupérer les systèmes à partir des sauvegardes."

Il a ajouté :"Il n'y a aucune raison de croire que les criminels supprimeraient réellement les données exfiltrées même si la rançon est payée."

La tentative de vol de données était un élément de l'attaque contre L.A. Unified. L'autre impliquait de tenter de désactiver les systèmes informatiques du district, les rendant inaccessibles.

Bien que les deux éléments de l'attaque n'aient été que partiellement réussis, le rétablissement complet a été difficile. Les informations pour une réunion du Conseil de l'éducation mardi, par exemple, ont été publiées via une page Web temporaire et encombrante. Les campus ont rouvert comme prévu le mardi après la fête du Travail, mais de nombreux étudiants, parents et membres du personnel ont déclaré qu'une semaine d'enseignement complète avait été perdue alors que les techniciens vérifiaient et redémarraient progressivement les systèmes et que les utilisateurs réinitialisaient plus de 600 000 mots de passe.

En cours de route, le district a découvert des logiciels malveillants laissés par les attaquants, qui pouvaient causer plus de dégâts s'ils n'étaient pas découverts et soigneusement désactivés.

Carvalho a décrit le malware comme "des fils de déclenchement numériques laissés derrière qui, s'ils sont déclenchés, désactiveront ou infecteront davantage les systèmes". Cette découverte a retardé la réinitialisation des mots de passe de district, en partie par crainte que les nouveaux mots de passe ne soient également volés.

Les opérations se sont déroulées plus facilement la deuxième semaine après l'attaque, bien que les techniciens tentent toujours de restaurer le système en ligne par lequel L.A. Unified gère les achats et le processus d'appel d'offres pour les fournisseurs et les projets de construction.

Bien qu'un audit récent ait mis en évidence des failles béantes dans la sécurité en ligne du district, L.A. Unified est loin d'être le seul.

"La seule chose inhabituelle à propos de cette attaque est qu'elle impliquait le deuxième plus grand district scolaire du pays. Ce fait mis à part, des incidents comme celui-ci sont malheureusement trop fréquents", a déclaré Brett Callow, analyste des menaces pour Emsisoft, une société de cybersécurité. "Déjà cette année, 25 autres districts avec 425 écoles entre eux se sont retrouvés dans la même position que LAUSD."

La plupart de ces incidents ont entraîné la fuite en ligne de données volées.

Un site qui suit les cyberattaques a signalé qu'un bureau d'éducation du comté de Californie avait récemment payé une rançon de 400 000 $.

L'attaque L.A. Unified a été liée à un syndicat criminel qui se fait appeler Vice Society, bien que les autorités aient refusé de le confirmer. + Explorer plus loin