El equipo del ransomware Vice Society ha filtrado un gran volumen de información de identificación personal (PII) sobre alumnos y personal de 14 escuelas y universidades del Reino Unido, incluida información sobre las necesidades educativas especiales (SEN) de los niños, datos de pasaportes escaneados para viajes escolares y detalles de la nómina del personal. y contratos.
Se sabe que los documentos se relacionan con 14 escuelas separadas, según una investigación de la BBC, incluida Pates Grammar School en Gloucester, que fue victimizada en septiembre de 2022. Al principio, se pensó que no se habían exfiltrado datos, aunque cinco días después. , la escuela envió un correo electrónico a los padres para decirles que no era así.
Las otras escuelas afectadas, según la BBC, son Carmel College, St Helens; Escuela Integral Durham Johnston; Frances King School of English, Londres/Dublín; Gateway College, Hamilton, Leicester; Sagrada Familia RC y CE College, Heywood; Escuela Lampton, Hounslow, Londres; Federación de Mossbourne, Londres; Colegio Comunitario de Pilton, Barnstaple; Academia Samuel Ryder, St Albans; Escuela de Estudios Orientales y Africanos (SOAS), Londres; Colegio Católico de San Pablo, Sunbury-on-Thames; Escuela Test Valley, Stockbridge; y la Escuela De Montfort, Evesham.
Un portavoz de Pates Grammar School dijo que estaba trabajando con especialistas forenses para investigar y analizar los datos y asegurar sus sistemas. Dijeron que en esta etapa, los sistemas afectados volvieron a estar en línea y las interrupciones se habían minimizado. Los portavoces de tres de las otras instituciones respondieron a las solicitudes de comentarios de la BBC, y SOAS reveló que había perdido casi 19,000 archivos en un ataque a sus sistemas que también tuvo lugar en septiembre de 2022.
En el momento de escribir este artículo, no hay indicios de si alguna de las presuntas víctimas antes mencionadas ha pagado o no un rescate. Computer Weekly también entiende que la Oficina del Comisionado de Información (ICO) ha sido informada de los diversos incidentes cuando fue necesario.
“El sector de la educación continúa siendo un objetivo atractivo para el delito cibernético”, dijo Keiron Holyome, vicepresidente de BlackBerry para el Reino Unido, Irlanda, Medio Oriente y África. “Como hemos visto nuevamente con el último ataque de Vice Society en las escuelas de los EE. UU. y el Reino Unido, los delincuentes se sienten cada vez más atraídos por los almacenes de datos confidenciales de los estudiantes, así como por la información financiera, los detalles de los padres y los inversores y, con demasiada frecuencia, la falta de atención e inversión en ciberseguridad.
“Para garantizar la continuidad de la educación, especialmente en el contexto del aprendizaje remoto, alentamos al gobierno a invertir en seguridad cibernética para el sector educativo, considerando el impacto en el bienestar de las personas y garantizar la seguridad, la productividad y la experiencia del usuario. Si estos dispositivos se infectan con un virus o malware, pueden exponer información personal confidencial que los estudiantes comparten durante el proceso de aprendizaje.”
El asesor de seguridad cibernética global de ESET, Jake Moore, agregó: “Esta es una revelación impactante que sugiere que los ciberdelincuentes todavía están apuntando activamente a los enlaces débiles que pueden tener un impacto masivo en la sociedad. Cuando se filtran datos como este, generalmente hay demandas de rescate que aparecen antes de que se publiquen los datos, lo que sugiere que estos datos pueden haber sido robados antes.
“Los organismos gubernamentales locales a menudo están protegidos por defensas más antiguas y menos seguras, y los actores de amenazas conocen muy bien los estándares que los protegen. Sin embargo, las escuelas y los organismos locales a menudo no tienen los fondos para pagar los rescates, lo que puede hacer que estos ataques sean infructuosos para los delincuentes pero muy dañinos para la sociedad. Las escuelas requieren constantemente mejores defensas y más conciencia sobre cómo proteger sus datos locales”.
El grupo Vice Society apareció por primera vez en el verano de 2021, cuando los investigadores de Cisco Talos observaron que encadenaba las vulnerabilidades de alto perfil de PrintNightmare en Windows Print Spooler para lograr la ejecución remota de código (RCE) en los entornos de destino.
En ese momento, se vio que lanzaba ataques de doble extorsión bastante estándar, pero Cisco Talos descubrió que era más notable porque busca y elimina activamente las copias de seguridad de los datos de sus víctimas, lo que hace que la recuperación sea una perspectiva más compleja y mejora sus posibilidades de recibir pagos. .
En los 18 meses transcurridos desde que saltó a la fama por primera vez, Vice Society se ha vuelto notoria por atacar y extorsionar a las instituciones educativas, y probablemente su acción más impactante fue un ataque al Distrito Escolar Unificado de Los Ángeles que tuvo lugar durante el fin de semana del Día del Trabajo: el Equivalente estadounidense del feriado bancario de finales de agosto del Reino Unido.
Después de este ataque, publicó aproximadamente 500 GB de datos robados en su sitio de fugas en la web oscura, incluidos los registros académicos de los alumnos, los registros disciplinarios y la información de salud. Varias otras escuelas en los EE. UU. también fueron atacadas casi al mismo tiempo, lo que provocó una alerta conjunta de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) y el FBI.
Según los cazadores de amenazas de Palo Alto Networks, Unit 42, Vice Society prefiere usar bifurcaciones de familias de ransomware existentes vendidas a través de la web oscura en lugar de sus propias cargas útiles personalizadas. Se ha observado usando tanto HelloKitty como Zeppelin. Sus demandas de rescate han superado en algunos casos el millón de dólares, aunque se sabe que disminuye sus demandas, a menudo sustancialmente, si las víctimas cooperan y negocian, una táctica que no se recomienda.