CCSD 遭勒索软件攻击数据泄露，未支付赎金的受害者敏感信息被曝光

一位研究人员说，在 Clark County School District（克拉克县学区（CCSD））拒绝支付赎金之后，他发现了一个开放的数据缓存，其中包含姓名，年级，生日和更多信息。

据报道，在包括拉斯维加斯(Las Vegas)在内的CCSD的学生的个人信息出现在一个地下论坛上，此前研究人员称这是由Maze团伙进行的勒索软件攻击。

9月初，美联社报道说，由于勒索软件攻击，该地区在开学的第一周就瘫痪了，有可能暴露出雇员的个人信息，包括姓名和社会安全号码。CCSD通过Facebook帖子迅速确认了该报告，并指出在8月27日学校开始在线三天后，它发现学校的许多文件都无法访问-尽管没有在线学习平台受到影响。当时它说“可能已经访问了一些私人信息。”

本周，Emisoft的威胁分析师Brett Callow告诉《华尔街日报》，学生信息已经在一个地下论坛中出现。

Callow说，攻击者上周开了警告枪，想必是为了报复CCSD没有支付一笔未披露的赎金。他说，攻击者发布了一个非敏感文件来表明他们具有数据访问权限。当没有任何回应时，他们发布了许多敏感信息。该信息包括员工的社会安全号码，地址和退休文件；和学生数据，例如姓名，年级，出生日期，地址和就读学校。黑客还宣布，该数据泄露代表了其从CCSD网络中窃取的所有信息。

当Threatpost与Emisoft联系以获取有关数据缓存的更多详细信息时，Callow说，犯罪分子（特别是Maze帮派）总共发布了大约25GB的数据。

他还说，访问信息不需要密码。

他对Threatpost说：“数据在透明和深色网上的泄漏站点上发布。” “知道互联网网址的任何人都可以访问它。”

就该地区而言，该地区周一在一份声明中表示，该报告尚未得到验证：“国家媒体正在报道有关CCSD于2020年8月27日首次宣布的数据安全事件的信息。警方正努力查明这起事件的全部性质和范围，并正在与执法部门合作。学区无法核实媒体报道中的许多要求。随着调查的继续，CCSD将单独通知受影响的个人。”

卡洛告诉Threatpost，“数据肯定看起来是合法的。”

Threatpost向CCSD咨询了有关赎金金额和其他详细信息的更多信息。说到敲诈勒索，7月在德克萨斯州雅典学区发生的类似袭击事件导致学校推迟了一周时间，该学区向攻击者支付了5万美元的赎金，以换取解密密钥。

越来越多的勒索软件运营商正在建立页面，威胁要从受害者那里发布泄露的数据，这增加了受害者支付赎金的压力。这种名为“双重勒索”的勒索软件策略最初出现在2019年末，由Maze运营商提出-但在过去几个月里迅速被Clop、DoupelPaymer和Sodinokibi勒索软件家族背后的各种网络犯罪分子所采用。

Callow对Threatpost表示：“最近几周，对学区的成功袭击次数显着增加，仅本月就有至少12人成为受害者。” “这些袭击破坏了多达596所学校的学习。窃取数据的案件数量也有所增加：在12个地区中，至少有5个地区的数据被盗并在线发布。”

网络安全公司ImmuniWeb的创始人兼首席执行官lia Kolochenko指出，如果父母选择就该袭击事件及其处理起诉该地区，那么CCSD的故事可能会变得混乱。

他在电子邮件中说：“可能最棘手的是受害者最终对学校提起诉讼。” “问题的关键在于，是否可以不支付赎金，阻止数据被发布，可以被解释为对损害的补救措施没有得到弥补，从而使学校应对这种具体的泄漏及其后果承担民事责任。但是，金钱损失可能只是名义价值，最近在美国发生的类似数据泄露诉讼中就证明了这一点。最好的途径可能是达成和解，为学生提供必要的支持，以消除数据泄露和暴露其个人身份信息[个人可识别信息]的合理可预见后果。

学校袭击仍在继续

大量的勒索软件攻击和其他网络威胁困扰着返校计划–似乎应对流行病对管理员来说压力不大。

除Clark County和雅典事件外，9月初对Hartford.Conn的公立学校的袭击还导致开学时间推迟。根据公开公告，勒索软件导致关键系统中断，包括学区的软件系统，该系统可提供公共汽车路线的实时信息。

此外，最近针对北卡罗莱纳州学区Haywood County Schools的勒索软件攻击使该学校关闭了几天的学生。

安全研究人员表示，网络攻击可能会成为新的“snow day”，尤其是随着大流行驱动的在线学习的到来。随着学生准备重返校园，学校面临着更加复杂的网络威胁。例如，数据，监控和联系追踪的需求成为学生返回亲自上课的关键因素，而远程学生将有较长的时间连接互联网。

同时，研究人员警告说，预计到2020年勒索软件的整体数量将比去年增加7倍-有些病毒比其他病毒更令人担忧。

“最受关注的勒索软件变种之一是Ryuk，它被归因于朝鲜和俄罗斯的威胁行为者，” Ordr的CSO Jeff Horne说。“ Ryuk可能很难检测和遏制，因为最初的感染通常是通过垃圾邮件/网络钓鱼进行的，并且可以传播和感染IoT / IoMT设备，就像我们在UHS医院电话和放射学机器上所看到的那样。一旦进入受感染的主机，它就可以从内存中拉出密码，然后横向移动开放共享，从而感染文档和受感染的帐户。”

他补充说，许多勒索软件攻击带来了额外的痛苦。

他说：“一些威胁参与者仍在将Ryuk背在TrickBot，QakBot和Emotet等其他木马/机器人的后面，其中一些可以利用EternalBlue漏洞进行传播，”。