在經曆了美國勞動節(9 月首個周一)周末的勒索軟體攻擊後,洛杉矶聯合學區(LAUSD)被迫将計算機系統關閉了一段時間、以遏制惡意軟體的傳播影響。作為全美第二大學區,LAUSD 官員在本次事件中處于高度戒備狀态。除了學校管理系統的停擺,他們也擔心未經授權的學生資料通路,會招到來自聯邦、州、以及地方合作夥伴施加的壓力。
事實上,這不是 LAUSD 的系統首次暴露于勒索軟體、也不是該學區第一回收到勒索軟體警告。
Hold Security 首席執行官 Alex Holden 證明,在系統受到攻擊後,相同的系統還曾于 2021 年 2 月“勉強避免了”遭受另一次類似的攻擊。
他向 TheVerge表示,該公司在 LAUSD 系統上發現了一個已被 TrickBot 網銀木馬入侵的裝置。
該裝置能夠從目标系統中竊取财務憑證,或安裝更具破壞性的惡意檔案 —— 比如勒索軟體。
記者 Jeremy Kirk 率先在 Twitter 上披露了 2021 年的那一場 LAUSD 入侵事件。而 Alex Holden 補充道:該學區經第三方通知獲悉了此事,并被認為已采取行動。
不久後,受感染裝置已從 TrickBot 僵屍網絡中消失。Holden 将這些事件描述為一場“險情”,遺憾的是,這次的結果有所不同。
被 TrickBot 染指的域控制器(員工 / 學生登入時的身份驗證系統)
據悉,LAUSD 有服務超 60 萬名學生,暗示了這次襲擊的潛在影響相當巨大。在 9 月 7 日釋出的新聞稿中,該學區稱其仍在向着全面的營運能力邁進,但在重新取得系統通路權方面遇到了困難。
周二的時候,LAUSD 表示已重置超 53000 名學生和員工的密碼,但這一謹慎的步驟也帶來了更多問題。該學區在聲明中寫道:
盡管果斷停用系統是攔截攻擊和避免造成災難快速蔓延的一項謹慎行動,但事實證明,從中斷中恢複仍較最初預期的更具挑戰性。
密碼重置的工作尤為困難,因為學生和員工必須在學區站點内完成相關操作。
反勒索軟體平台 Halcyon 首席執行官兼聯合創始人 Jon Miller 在接受 TheVerge 采訪時稱 —— 即使看似已恢複的系統,仍可能容易受到攻擊。
即便如此,LAUSD 還是設法将許多其它系統恢複到可運轉的狀态。本周早些時候,該學區負責人 Alberto Carvalho 在 Twitter 上表示,一些關鍵系統已在兩小時内恢複。