为什么勒索软件在教育中的兴起，以及这对2023年意味着什么

洛杉矶统一学区（LAUSD）的漏洞凸显了密码漏洞的普遍性，因为犯罪黑客继续在日益频繁的勒索软件攻击中使用被破坏的凭据。

劳动节周末违反LAUSD的行为给整个地区的电子邮件、计算机和应用程序访问带来了严重的中断。目前尚不清楚攻击者窃取了哪些学生或员工数据。

教育部门是一个极易受到攻击的部门，勒索软件的漏洞有一个显著的趋势。学生的短暂性使得账户和密码容易受到攻击。学校为促进学生探索而创造的开放环境，以及该领域在网络安全方面的相对幼稚，都会引发攻击。

LAUSD的违规行为以及随后发生的情况

在泄密事件发生四天后，有报道称，犯罪分子在袭击发生前几个月提供了学区网络内账户的凭据，以便在暗网上出售。被盗的凭据包括后缀为@lausd.net的电子邮件地址作为用户名和密码。

LAUSD在更新中回应称，“据报道，在恶意网站上发现的泄露电子邮件凭据与此次袭击无关，联邦调查机构证实了这一点。”LAUSD的泄露报告证实了FBI和CISA是调查人员。

联邦调查局（FBI）和美国情报局（CISA）以及围绕此次泄密事件的事实证实，威胁行为人很可能使用泄露的凭据获得了对LAUSD网络的初始访问权，以对越来越多的特权密码进行控制。

FBI和CISA观察到了Vice Society勒索软件组，该组利用TTP（包括“提升权限，然后访问域管理员帐户”）为此次攻击负责。勒索软件组使用脚本更改网络帐户密码，以阻止受害组织补救漏洞。

升级权限假定攻击者具有升级权限，这意味着他们在攻击开始时就已经拥有访问权限和密码。

正如联邦调查局和CISA的顾问所解释的，“副社会行为者很可能通过利用面向互联网的应用程序，通过泄露的证书获得初始网络访问。”

LAUSD网站建议账户持有人访问其MyData应用程序，网址为https://mydata.lausd.net，使用他们的“单点登录凭据（即LAUSD电子邮件用户名和密码）。确保单点登录正常的一种方法是登录LAUSD主页www.LAUSD.net上的“Inside LAUSD”

LAUSD网站：如何登录？页

主页、电子邮件和SSO是可利用的面向互联网的应用程序。通过泄露的密码访问电子邮件的黑客可以使用SSO访问MyData应用程序和任何允许通过SSO访问的应用程序中的数据。

违约事件发生后，LAUSD要求员工和学生在登录其系统之前，必须亲自在学区网站的学区位置重置@LAUSD.net电子邮件后缀的密码。这是他们在电子邮件密码泄露时会采取的措施，以防止进一步泄露。

今年针对教育的勒索软件攻击增多

勒索软件组织通常以教育为目标，其影响包括未经授权的访问和窃取工作人员和学生的个人信息。教师、员工和学生在线工作和学习的普及扩大了威胁范围，自2019年以来，针对教育的勒索软件攻击呈上升趋势。

联邦调查局证实，2020年出售的教育密码被泄露，包括2000名美国大学用户名和.edu域名后缀密码的暗网广告。2021，联邦调查局在一个公开的即时消息平台上为.edu域上的帐户识别了36000个电子邮件和密码组合。

今年，美国联邦调查局发现多个俄罗斯网络犯罪论坛出售或泄露了网络证书和VPN访问“大量美国大学和学院，其中一些包括作为访问证明的截图”

Beefing up security for 2023

攻击者在暗网上购买和出售被破坏的密码，数量达数百万，他们知道，由于密码重复使用，平均凭据可以访问许多帐户。犯罪黑客依靠它，他们可以将被破解的密码塞进登录页面，以获得未经授权的访问。对账户的非法访问使黑客能够访问敏感数据，利用开放网络，甚至注入勒索软件。

Specops Password Policy with Breached Password Protection将Active Directory中的密码与超过20亿个被破坏的密码进行比较。Specops在最新的更新中，新增了1300多万个新的密码。Specops Breached Password Protection将Active Directory密码与不断更新的已损坏凭据列表进行比较。

对于每一次Active Directory密码更改或重置，违反密码保护都会阻止使用任何泄露的密码，并动态反馈其被阻止的原因。如果您希望保护您的教育机构或任何业务，您可以免费测试Specops Breached Password Protection。