El Ransomware Aumenta en el Sector Educativo.
El número de ataques de ransomware exitosos en el sector educativo aumentó en un 388 por ciento entre el segundo y el tercer trimestre de 2020. Fue una historia similar en 2019. Es casi seguro que esto no es una coincidencia.
En este informe, examinaremos las razones de esta tendencia y cómo puede haber una ventana de oportunidad para que los distritos escolares detecten y eliminen el ransomware antes de que se pueda realizar el cifrado.
La tasa de ataques al sector de la educación aumenta en el tercer trimestre
El sector de la educación es un objetivo de ransomware popular, y es fácil ver por qué. Los distritos escolares a menudo son vulnerables al compromiso debido al uso de equipos de TI obsoletos y la falta de recursos de seguridad, mientras que la naturaleza interconectada de los campus crea una gran superficie de ataque y aumenta el riesgo de propagación de malware. Las escuelas afectadas a menudo enfrentan una inmensa presión para pagar rescates a fin de minimizar la interrupción del aprendizaje y evitar la publicación de grandes cantidades de datos personales robados.
La cantidad de ataques de ransomware exitosos en el sector educativo fluctúa significativamente de un trimestre a otro. En el segundo trimestre de 2020, ocho universidades, colegios y distritos escolares se vieron afectados por el ransomware. En el tercer trimestre, hubo 31 incidentes, un aumento del 388 por ciento. Nueve de los 31 incidentes involucraron la exfiltración de datos.
Un aumento tan radical de incidentes podría percibirse como una ola deshonesta; un evento anómalo para el que nadie podría haberse preparado. Pero si miramos las cifras del año pasado, podemos ver que el aumento de la tasa de ataques era de hecho totalmente predecible y, por lo tanto, prevenible. En 2019, la cantidad de ataques de ransomware en el sector educativo aumentó de cinco en el segundo trimestre a 51 en el tercer trimestre, un aumento del 10 al 20 por ciento.
Los ataques posteriores al compromiso probablemente sean los responsables del aumento.
Los grupos de ransomware se mueven cada vez más hacia ataques posteriores al compromiso en los que, en lugar de cifrar inmediatamente los datos en un sistema comprometido, los actores de amenazas se toman el tiempo para preparar el entorno objetivo, recolectar credenciales, filtrar datos, destruir copias de seguridad y deshabilitar procesos de seguridad antes de finalmente implementar el ransomware de cifrado de datos. Los atacantes están presentes en redes comprometidas durante un promedio de 56 días antes de implementar ransomware.
Por lo tanto, el aumento estacional del ransomware en el sector educativo probablemente no se deba a un fuerte aumento en la actividad del ransomware, ni se trata de un caso de redes escolares que mágicamente se vuelven más susceptibles al ransomware en el tercer trimestre. En cambio, es probable que se trate de actores de amenazas, que pueden haber tenido acceso a la red durante semanas antes, esperando el momento adecuado para implementar ransomware a fin de maximizar el impacto de un ataque.
En el sector de la educación, el “momento adecuado” es el inicio del año escolar. Esperar a que los estudiantes regresen a la escuela en el tercer trimestre antes de implementar ransomware permite a los actores de amenazas infligir el máximo caos y aplicar una mayor presión a los distritos, que pueden estar más dispuestos a pagar el rescate para restaurar rápidamente el acceso al sistema y minimizar las interrupciones. Esta estrategia puede haber sido particularmente eficaz este año, con tantos distritos que dependen en gran medida de los sistemas informáticos para facilitar el aprendizaje a distancia tras la pandemia.
Por el contrario, si los atacantes implementaran ransomware en el segundo trimestre, los distritos escolares tendrían suficiente tiempo durante las vacaciones de verano para recuperar sus datos y, por lo tanto, es menos probable que paguen el rescate.
La necesidad de un mejor intercambio de información
Si nuestra teoría es correcta y los atacantes están retrasando la implementación, las víctimas tienen una ventana de oportunidad para detectar y remediar las amenazas en las primeras etapas de un ataque antes de que se produzca el cifrado.
Para detener el ransomware al principio de la cadena de ataque, los distritos escolares deben ser capaces de identificar las pistas asociadas con la actividad maliciosa, también conocidas como indicadores de compromiso (IOC). Y poder identificar los IOC se basa en los detalles de los ataques anteriores que se recopilan y comparten con los distritos.
Tal como está, las entidades públicas no están obligadas legalmente a informar o divulgar incidentes de ransomware y, debido al miedo a la vergüenza, la estigmatización y tal vez los litigios, pocas se presentan voluntariamente. En consecuencia, hay pocos datos disponibles sobre los vectores de ataque, las cepas de ransomware involucradas, los montos de los rescates y el impacto financiero de los incidentes, información crítica que podría ayudar directamente a las organizaciones a comprender mejor el panorama de amenazas y abordar posibles fallas de seguridad.
Deben realizarse esfuerzos para cerrar esta brecha de inteligencia. Sin mejores informes e intercambio de información, los distritos escolares están condenados a repetir los mismos errores de víctimas anteriores, lo que lleva a una interrupción continua en el sector de la educación y mayores ganancias para los grupos de ransomware.
