洛杉矶学区在最近关闭前被警告勒索软件威胁

在劳动节周末发动勒索软件攻击后，洛杉矶联合学区（LAUSD）现在正慢慢恢复容量，这导致计算机系统前所未有地关闭，试图遏制恶意软件的影响。对美国第二大学区LAUSD的袭击使官员们处于高度戒备状态，担心学校管理系统的封锁和未经授权访问学生数据引发了联邦、州和地方合作伙伴的反应。

但这并不是LAUSD系统第一次暴露于勒索软件，也不是该地区收到的第一个勒索软件警告。Hold Security首席执行官亚历克斯·霍尔顿（Alex Holden）证实，2021，在系统受损后，这些系统险些再次遭到类似攻击。

霍尔顿告诉科技博客他的公司在LAUSD的系统上发现了一个被TrickBot banking特洛伊木马入侵的设备，该木马能够从目标系统窃取金融凭证，还可以用于安装更具破坏性的恶意软件，如勒索软件。（记者杰里米·柯克在推特上首次强调了2021的入侵事件。）

霍顿说，劳埃德是通过第三方得到通知的，并被认为已经采取了行动。不久之后，被破坏的设备从TrickBot僵尸网络中消失。霍顿将这些事件描述为对学区的一次“千钧一发”，并补充说，“不幸的是，这一次结果不同”。

LAUSD共有60多万名学生，这意味着袭击的潜在影响是巨大的。在9月7日发布的一份新闻稿中，该地区表示，该地区仍在向全面运营能力迈进，但在重新接入系统方面遇到了困难。

周二，学区表示已重置了53000多个学生和员工密码。但这一谨慎步骤也带来了更多问题。

声明中写道：“虽然捷运局通过关闭所有系统拦截攻击的能力是避免灾难性破坏的快速、果断和谨慎行动，但事实证明，从中断中恢复比最初预期的更具挑战性”。“密码重置一直是洛杉矶联合大学最大的挑战，因为学生和员工必须在学区现场完成重置。”

尽管存在密码问题，LAUSD仍然设法使许多其他系统恢复到运行状态。本周早些时候，LAUSD负责人阿尔贝托·卡瓦略（Alberto Carvalho）在推特上表示，一些关键系统已在两小时内恢复。

@LASchoolsITD在2小时内恢复了MISI，我们的系统现在支持数字考勤报告。我们的团队正在迅速工作，使整个地区的所有职能正常化。pic.twitter.com/NFFdDp4vWD

— Alberto M. Carvalho (@LAUSDSup) September 6, 2022

但专家表示，从这样的袭击中完全恢复并不是很快就能做到的。反勒索软件平台Halcyon的首席执行官兼联合创始人Jon Miller告诉科技博客即使表面上恢复的系统也可能脆弱。

Miller说，攻击者通常会使用受损的登录凭证找到目标，或者找到其他方法绕过网络上安装的安全产品。在某些情况下，这些技术使黑客在尝试修复时能够持久访问网络。

“即使受害者有备份，他们也需要花费数周甚至数月的时间进行昂贵的恢复和事件响应，必须完成这些工作，以确保网络能够安全地再次全面运行，”他说。

LAUSD可能是美国最大的学区之一，但在处理勒索软件攻击方面，它远不是唯一一个。Doug Levin维护了一个公开披露的学校网络安全事件数据库，他指出科技博客在LAUSD攻击一个月内发生的其他四起学校勒索软件事件。

莱文认为，造成学校脆弱的因素从资源限制到学校领导层未能跟上学习环境的数字化转变。但决策者也有责任让学校制定自己的网络准备标准。

“在网络安全政策方面，学区对支持的需求在很大程度上被忽视了，”莱文说。

尽管如此，在袭击发生后，联邦官员警告说，针对学校的勒索软件袭击可能会增加。

联邦调查局、网络安全和基础设施安全局（CISA）和多州信息共享和分析中心（MS-ISAC）的联合网络安全顾问警告说，联邦机构“观察到……行为体不成比例地以勒索软件攻击教育部门”。

该咨询称，由于勒索软件组织看到了成功攻击的机会，2022-2023学年对学校的网络攻击可能会增加，K-12机构因其处理的敏感学生数据量而成为有吸引力的目标。