教育中的勒索软件为什么会兴起？

洛杉矶统一学区( LAUSD )的破坏凸显了密码漏洞的普遍存在，因为犯罪黑客在越来越频繁的针对教育的勒索软件攻击中继续使用被破坏的凭证。

劳动节周末对LAUSD的破坏给电子邮件、计算机和应用程序的访问带来了巨大的破坏。目前尚不清楚攻击者窃取了哪些学生或员工数据。

在教育这个高度脆弱的部门，勒索软件的违约行为有明显的趋势。学生的临时性质使帐户和密码容易受到伤害。学校创造的开放环境促进了学生的探索，而网络安全领域的相对幼稚则招致攻击。

在LAUSD的违约行为以及后来发生的事情

在违约四天后，有报道称，在袭击前的几个月里，犯罪分子在学区网络内提供了出售账户的凭证。被盗的凭据包括以后缀@ lausd . net为用户名的电子邮件地址和违反的密码。

 LAUSD在其更新中回应说，”据报道，在邪恶网站上发现的泄露的电子邮件证书与这次袭击无关，正如联邦调查机构所证实的那样”。LAUSD违约报告确认FBI和CISA为调查人员。

联邦调查局和CISA以及有关违约行为的事实证实，威胁行为者可能使用妥协的证书，以获得最初进入LAUSD网络的机会，以控制日益特权的密码。

联邦调查局和CISA观察到了Vice Society勒索软件集团，该集团为攻击提供了信贷，使用了包括”升级特权，然后进入域管理员账户”在内的TTP。赎金组使用脚本更改网络帐户密码，以防止受害者组织补救违约行为。

升级权限假定攻击者拥有升级权限，这意味着他们在攻击一开始就已经有了访问权限和密码。

正如FBI和CISA的咨询意见所解释的那样，”副学会行为者可能通过利用面向互联网的应用程序，通过妥协的证书获得最初的网络接入”。

  LAUSD网站建议账户持有人使用”单点登录凭证(即LAUSD邮箱用户名和密码) “访问其My Data应用程序https://mydata.lausd.net,。确保单点登录正常工作的一种方法是在LAUSD主页www . lausd . net上登录’ Inside LAUSD ‘。

主页、电子邮件和SSO是可利用的面向Internet的应用程序。通过泄露密码访问电子邮件的黑客可以使用SSO来访问整个MyData应用程序和任何允许通过SSO访问的应用程序中的数据。

违约后，LAUSD要求员工和学生在@ LAUSD . net邮箱后缀所在的学区网站上亲自重置密码后才能登录系统。这是他们在电子邮件密码受损的情况下会做的事情，以防止进一步的妥协。

今年以来，针对教育的勒索软件攻击上升

勒索软件团伙往往以教育为目标，其影响包括未经授权的访问和盗窃教职员工和学生的PII。教师、工作人员和学生在网上工作和学习，扩大了威胁的景观，自2019年以来，对教育的赎金袭击呈上升趋势。

美国联邦调查局( FBI )确认了出售的妥协教育密码，包括2020年为2，000名美国大学用户名和. edu域名后缀密码提供的黑网广告。2021年，联邦调查局在一个公开的即时消息平台上，为. edu域名的帐户确定了36，000个电子邮件和密码组合。

今年，联邦调查局发现了多个俄罗斯网络犯罪论坛，出售或透露网络证书和VPN访问，以”在美国的许多大学和学院，其中一些包括截图，作为访问的证据”。