LA Birleşik Okul Bölgesi’nin (LAUSD) ihlali, suçlu bilgisayar korsanları, eğitime yönelik giderek daha sık yapılan fidye yazılımı saldırılarında ihlal edilen kimlik bilgilerini kullanmaya devam ederken, parola güvenlik açıklarının yaygınlığını vurgulamaktadır.
İşçi Bayramı hafta sonu LAUSD ihlali, e-posta, bilgisayar ve uygulamalara erişimde bölge çapında önemli kesintilere neden oldu. Saldırganların hangi öğrenci veya çalışan verilerini sızdırdığı belli değil.
Son derece savunmasız bir sektör olan eğitimde fidye yazılımı ihlallerinde önemli bir eğilim var. Öğrencilerin geçici doğası, hesapları ve şifreleri savunmasız bırakır. Okulların öğrencilerin keşfetmesini teşvik etmek için oluşturduğu açık ortamlar ve sektördeki siber güvenlik konusundaki göreceli saflık, saldırılara davetiye çıkarıyor.
LAUSD’deki ihlal ve sonrasında olanlar
İhlalden dört gün sonra, suçluların okul bölgesi ağındaki hesaplar için kimlik bilgilerini saldırıdan aylar önce karanlık ağda satışa sunduklarına dair haberler geldi. Çalınan kimlik bilgileri, kullanıcı adları ve ihlal edilen şifreler olarak @lausd.net son ekine sahip e-posta adreslerini içeriyordu.
LAUSD, güncellemesinde “Federal soruşturma kurumları tarafından onaylandığı üzere, kötü niyetli web sitelerinde bulunduğu bildirilen e-posta kimlik bilgilerinin bu saldırıyla ilgisi olmadığı” yanıtını verdi. LAUSD ihlal raporu, FBI ve CISA’nın müfettiş olduklarını doğruladı.
FBI ve CISA ve ihlali çevreleyen gerçekler, tehdit aktörlerinin, giderek daha ayrıcalıklı şifreler üzerinde kontrol sağlamak için LAUSD ağına ilk erişim sağlamak için muhtemelen tehlikeye atılmış kimlik bilgilerini kullandığını doğrulamaktadır.
FBI ve CISA, saldırının sorumluluğunu üstlenen Vice Society fidye yazılımı grubunu, “ayrıcalıkların yükseltilmesi ve ardından etki alanı yöneticisi hesaplarına erişim sağlanması” dahil olmak üzere TTP’ler kullanarak gözlemlemişti. Fidye yazılımı grubu, kurban organizasyonun ihlali düzeltmesini önlemek için ağ hesabı şifrelerini değiştirmek için komut dosyaları kullandı.
Yükselen ayrıcalıklar, saldırganların yükselme ayrıcalıklarına sahip olduğunu varsayar; bu, saldırının başlangıcında zaten erişime ve güvenliği ihlal edilmiş parolalara sahip oldukları anlamına gelir.
FBI ve CISA danışmanlığının açıkladığı gibi, “Vice Society aktörleri, İnternet’e yönelik uygulamalardan yararlanarak, güvenliği ihlal edilmiş kimlik bilgileri aracılığıyla muhtemelen ilk ağ erişimini elde ederler.”
LAUSD web sitesi, hesap sahiplerine https://mydata.lausd.net adresindeki MyData uygulamasına “Tek Oturum Açma kimlik bilgilerini (yani, LAUSD e-posta kullanıcı adı ve parolası) kullanarak erişmelerini önerir. Tek Oturum Açmanızı sağlamanın bir yolu çalışmak, LAUSD ana sayfasında www.lausd.net “Inside LAUSD” oturum açmaktır.”
 |
| LAUSD web sitesi: Nasıl giriş yapabilirim? sayfa |
Ana sayfa, e-posta ve SSO, istismar edilebilir internete yönelik uygulamalardır. Güvenliği ihlal edilmiş parolalar aracılığıyla e-postaya erişen bilgisayar korsanları, MyData uygulaması ve SSO aracılığıyla erişime izin veren herhangi bir uygulama genelindeki verilere erişmek için SSO’yu kullanabilir.
İhlalin ardından LAUSD, çalışanların ve öğrencilerin, sistemlerinde oturum açmadan önce @LAUSD.net e-posta son eki için bir okul bölgesi konumundaki bölge web sitesinde parolalarını şahsen sıfırlamalarını gerektirdi. Bu, güvenliği ihlal edilmiş e-posta şifreleri durumunda daha fazla güvenliğin ihlal edilmesini önlemek için yapacakları bir şeydir.
Bu yıl eğitime yönelik fidye yazılımı saldırılarının yükselişi
Fidye yazılımı grupları, yetkisiz erişim, personel ve öğrenci kimlik bilgilerinin çalınması gibi etkilerle genellikle eğitimi hedefler. Çevrimiçi çalışan ve öğrenen öğretmenlerin, personelin ve öğrencilerin alımı, 2019’dan bu yana eğitime yönelik fidye yazılımı saldırılarının artmasıyla tehdit ortamını genişletti.
FBI, 2020’de .edu alan son ekindeki 2.000 ABD üniversitesi kullanıcı adı ve şifresi için bir dark web reklamı da dahil olmak üzere güvenliği ihlal edilmiş eğitim şifrelerinin satılık olduğunu onayladı. 2021’de FBI, bir .edu alanındaki hesaplar için 36.000 e-posta ve şifre kombinasyonu belirledi. herkese açık anlık mesajlaşma platformu.
Bu yıl, FBI, “bazıları erişim kanıtı olarak ekran görüntüleri de dahil olmak üzere, ABD merkezli çok sayıda tanımlanmış üniversite ve koleje” ağ kimlik bilgilerini ve VPN erişimini satan veya ifşa eden çok sayıda Rus siber suç forumunu buldu.
2023 için güvenliği artırma
Saldırganlar, parolaların yeniden kullanılması nedeniyle, ortalama kimlik bilgilerinin birçok hesaba erişim sağladığını bilerek, karanlık ağda milyonlarca kişi tarafından ihlal edilen parolaları alıp satar. Suçlu bilgisayar korsanları, yetkisiz erişim elde etmek için ihlal edilen parolaları giriş sayfalarına yerleştirebilmek için buna güvenir. Hesaplara bu yasadışı erişim, bilgisayar korsanlarının hassas verilere erişmesine, açık bir ağdan yararlanmasına ve hatta fidye yazılımı enjekte etmesine olanak tanır.
İhlal Edilen Parola Korumalı Specops Parola Politikası, Active Directory’nizdeki parolaları, ihlal edilmiş 2 milyardan fazla parolayla karşılaştırır. Specops, en son güncellemesinde listeye yeni ihlal edilen 13 milyondan fazla şifreyi ekledi. Specops İhlal Edilen Parola Koruması, Active Directory parolalarını sürekli güncellenen, güvenliği ihlal edilmiş kimlik bilgileri listesiyle karşılaştırır.
Her Active Directory parola değişikliği veya sıfırlama için, İhlal Edilen Parola Koruması, neden engellendiğine ilişkin dinamik geri bildirimle güvenliği ihlal edilmiş parolaların kullanımını engeller. Eğitim organizasyonunuzu veya bu konuda herhangi bir işletmeyi güvence altına almak istiyorsanız, Specops İhlal Edilen Parola Korumasını ücretsiz olarak test edebilirsiniz.