Alberto Carvalho, Superintendent, Los Angeles Unified School District, landets näst största skoldistrikt, kommenterar en extern cyberattack på LAUSD:s informationssystem under Labor Day-helgen, vid en presskonferens i Los Angeles tisdagen den 6 september 2022. Trots ransomware-attacken öppnade skolor i landets näst största distrikt som vanligt på tisdag morgon. Kredit:AP Photo/Damian Dovarganes
En ransomware-attack riktad mot det enorma skoldistriktet i Los Angeles ledde till en aldrig tidigare skådad avstängning av dess datorsystem eftersom skolor i allt högre grad befinner sig sårbara för cyberintrång i början av ett nytt år.
Attacken mot Los Angeles Unified School District slog larm över hela landet, från brådskande samtal med Vita huset och det nationella säkerhetsrådet efter att de första tecknen på ransomware upptäcktes sent på lördagskvällen till obligatoriska lösenordsändringar för 540 000 elever och 70 000 distriktsanställda.
Även om attacken använde teknik som krypterar data och inte låser upp den om inte en lösensumma betalas, i det här fallet sa distriktets föreståndare att inget omedelbart krav på pengar gjordes och att skolor i landets näst största distrikt öppnade som planerat på tisdagen.
Sådana attacker har blivit ett växande hot mot amerikanska skolor, med flera uppmärksammade incidenter som rapporterats sedan förra året då pandemipåtvingat beroende av teknik ökar effekten. Och ransomware-gäng har tidigare planerat stora attacker på helger i USA, när de vet att IT-personalen kommer att vara tunn och säkerhetsexperterna slappar av.
Även om det inte var omedelbart klart när LA-attacken började – tjänstemän har bara sagt när den upptäcktes och en talesperson för distriktet vägrade svara på ytterligare frågor – nådde lördagskvällens upptäckt de högsta nivåerna av den federala regeringens cybersäkerhetsbyråer.
Enligt en högre tjänsteman inom förvaltningen överensstämde detta stödmönster med Biden-administrationens ansträngningar att ge maximal hjälp till kritiska industrier som drabbats av sådana intrång.
Tjänstemannen, som talade på villkoret av anonymitet för att diskutera det federala svaret, sa att skoldistriktet inte betalade lösensumma, men skulle inte gå in på detaljer om vad som potentiellt kan ha stulits eller skadats och vilka system som påverkades av intrånget.
Vita husets svar på LA-intrånget återspeglar en växande nationell säkerhetsoro:En undersökning från Pew Research Center, som publicerades förra månaden, visade att 71 % av amerikanerna säger att cyberattacker från andra länder är ett stort hot mot USA.
Myndigheterna tror att LA-attacken har sitt ursprung internationellt och har identifierat tre potentiella länder där den kan ha kommit ifrån, även om LA-intendent Alberto Carvalho inte vill säga vilka länder som kan vara inblandade. De flesta brottslingar av ransomware är rysktalande som verkar utan inblandning från Kreml.
LA-tjänstemän identifierade inte ransomware som användes.
"Detta var en feg handling", säger Nick Melvoin, skolstyrelsens vice ordförande. "En brottslig handling mot barn, mot deras lärare och mot ett utbildningssystem."
Hittills i år har 26 amerikanska skoldistrikt – inklusive Los Angeles – och 24 högskolor och universitet drabbats av så kallad ransomware, enligt Brett Callow, en ransomware-analytiker på cybersäkerhetsföretaget Emsisoft.
Eftersom offer i allt högre grad vägrar att betala för att få sina uppgifter upplåsta, använder många cyberbrottslingar istället samma teknik för att stjäla känslig information och kräva utpressningsbetalningar. Om offret inte betalar dumpas uppgifterna online.
Callow sa att minst 31 av skolorna som drabbades i år hade stulit data och släppts online, och noterade att åtta av skoldistrikten har drabbats sedan 1 augusti. Ökningen av skolor när sommarlovet slutar är nästan säkert inte en tillfällighet, sa han .
"Det är hot nr 1 mot vår säkerhet", säger Michel Moore, chef för Los Angeles polisavdelning. "Det är en osynlig fiende och den är outtröttlig."
Outtröttligt – och dyrt, även utanför alla ekonomiska krav. En attack mot utpressning av ransomware i Albuquerques största skoldistrikt tvingade skolor att stänga i två dagar i januari, medan Baltimore Citys svar på en träff på dess datorservrar 2019 kostade uppemot 18 miljoner dollar.
LA-attacken upptäcktes runt 22:30. Lördagen när personalen först upptäckte "ovanlig aktivitet", sa Carvalho. Gärningsmännen verkar ha riktat in sig på anläggningssystemen, som involverar information om betalningar från privata entreprenörer – som är offentligt tillgängliga genom registerförfrågningar – snarare än konfidentiella uppgifter som löner, hälsa och andra uppgifter.
Han sa att distriktets IT-tjänstemän upptäckte skadlig programvara och stoppade den från att spridas men inte förrän efter att den infekterade viktiga nätverkssystem, vilket gjorde det nödvändigt att återställa lösenord för all personal och studenter.
Myndigheterna försökte spåra inkräktarna och begränsa potentiell skada.
"Vi stängde i princip alla våra system", sa Carvalho och noterade att vart och ett hade kontrollerats och alla utom ett – anläggningssystemet – startade om sent på måndagskvällen, när distriktet först meddelade allmänheten om träffen.
På tisdagen varnade federala myndigheter separat för potentiella ransomware-attacker från det kriminella syndikatet som kallas Vice Society, som påstås ha varit oproportionerligt riktat mot utbildningssektorn.
Myndigheterna har inte sagt om de tror att Vice Society är inblandat i LA-attacken och gruppen svarade inte på en begäran om kommentar på tisdagen.
"Det faktum att en gemensam cybersäkerhetsrådgivning relaterad till Vice Society utfärdades inom några dagar efter att attacken mot LAUSD upptäcktes kan vara talande, särskilt som det här gänget ofta har riktat in sig på utbildningssektorn i både USA och Storbritannien", säger Callow, den ransomware expert.
Vice Society dök upp först i maj 2021 och snarare än en unik variant har den använt ransomware som är allmänt tillgänglig i den rysktalande tunnelbanan, säger säkerhetsforskare. Bland de offer som Vice Society hävdar är Elmbrook School-distriktet i Wisconsin och Savannah College of Art and Design.
Ransomware-gäng upplöses rutinmässigt efter högprofilerade attacker som förra årets Colonial Pipeline-incident, som utlöste körningar på bensinstationer. Deras medlemmar ombildas sedan under nya namn.
Även om det fanns tryck att avbryta skolan i Los Angeles på tisdagen, beslutade tjänstemän till slut att hålla öppet.
Hade aktiviteten inte upptäckts på lördagskvällen sa Carvalho att det kunde ha fått "katastrofala" konsekvenser.
"Om vi hade förlorat möjligheten att köra våra skolbussar, skulle över 40 000 av våra elever inte ha kunnat ta sig till skolan, eller det skulle ha varit ett mycket stört system", sa han.
Distriktet planerar att göra en kriminalteknisk granskning av attacken för att se vad som kan göras för att förhindra framtida intrång.
"Varje lärare, varje anställd, varje elev kan vara en svag punkt", säger Soheil Katal, distriktets informationschef. + Utforska vidare
© 2022 Associated Press. Alla rättigheter förbehållna. Detta material får inte publiceras, sändas, skrivas om eller omdistribueras utan tillstånd.