Il motivo per cui gli hacker di ransomware inseguono piccoli distretti scolastici con poche risorse ancora mi lascia perplesso. I distretti possono essere “frutti a bassa quota” dal punto di vista della sicurezza, ma generalmente non hanno le risorse per pagare grandi richieste di riscatto. Allora perché prenderli di mira? Nonostante la mia perplessità, un certo numero di squadre ransomware fanno attacco k-12 ai distretti. DoppelPaymer è uno di quelli che lo fanno e questa settimana hanno scaricato più dati da due delle loro vittime.
Il distretto scolastico Pascagoula-Gautier nel Mississippi è un distretto scolastico pubblico che serve circa 7.000 studenti in 19 elementari (K-4), accademia (5-6), scuola media (7-8), scuola superiore (9-12), e campus di scuole di specialità che servono le città di Gautier e Pascagoula, MS. Il 20 ottobre 2020, il distretto è caduto vittima di un attacco ransomware.
A quel tempo, il distretto ha prontamente allertato la comunità con una dichiarazione. Diceva, in parte:
È stata condotta un’indagine congiunta con il dipartimento dei sistemi informativi del PGSD e la guardia nazionale dell’esercito della signorina Cyber che ha determinato che i server contenenti registrazioni finanziarie e nutrizionali dei bambini non erano compresi o estratti.
“L’indagine ha stabilito che era compreso un server contenente i dati degli studenti, ma non includeva alcun numero di previdenza sociale. L’indagine è stata inconcludente sul fatto che i dati degli studenti siano stati presi o se altri dati fossero stati presi dalla rete PGSD, e non è stato pagato alcun riscatto“, ha detto Rodolfich.
Questa settimana, gli hacker DoppelPaymer hanno scaricato più dati dal distretto. Il furto sembra includere dati su studenti e dipendenti, nonché file di routine per un distretto scolastico.
Come esempio di ciò che è stato scaricato, c’era almeno un foglio di calcolo con i dati degli studenti su più di 6.500 studenti. I campi dati erano costituiti da:
School_id Student_id Student_number State_id Last_name Middle_name First_name Grado Gender DOB Race Hispanic_latino Ell_status Frl_status IEP_Status Student_street Student_city Student_state Student_zip Student_email Contact_relationship Contact_type Contact_name Contact_phone Contact_email Username Password
Il campo della password era vuoto in quel particolare foglio di calcolo. Gran parte dei dati su quel foglio di calcolo potrebbero essere disponibili pubblicamente (a seconda di come il distretto definisce “informazioni di directory”), ma la relazione di genitori / tutori, nomi e informazioni di contatto (casa, cellulare, e-mail) probabilmente non sono informazioni di directory. Non c’erano SSN in questo file.
Un altro file includeva informazioni di riepilogo su incidenti comportamentali o disciplinari nelle scuole per un periodo di due mesi da agosto a ottobre. Quel file includeva i nomi degli studenti, le scuole e cosa è successo (ad esempio, un ritardo eccessivo che ha portato alla sospensione della scuola).
C’erano anche una serie di file con informazioni sul personale che includevano alcune informazioni sullo stipendio, informazioni sui benefici e SSN completo. Altri file includevano i contratti dei dipendenti, anche con SSN. DataBreaches.net non ha completato una revisione completa del dump dei dati al momento di questa pubblicazione, ma i SSN sono abbastanza preoccupati che il distretto dovrebbe avvisare tempestivamente il personale se non li ha già notificati.
Il distretto di Pascagoula-Gautier non è l’unico distretto in cui gli attori delle minacce DoppelPaymer hanno scaricato più dati da questa settimana. In un elenco separato sul loro sito di fuga, hanno anche scaricato più dati dalle Gardiner Public Schools, una scuola K-12, un edificio che serve circa 200 studenti a Gardiner, nel Montana.
Il dump di dati più recente contiene un assortimento di file, con alcuni file che rivelano informazioni personali e quelle che dovrebbero essere protette sugli studenti nominati. Sono inoltre presenti file relativi al personale o alle questioni ordinarie del distretto e alcuni file che possono essere file personali e non file distrettuali ma che sono stati memorizzati sul server. Fortunatamente per il distretto, forse, parte del dump dei dati è danneggiato e DataBreaches.net quindi non sa cos’altro potrebbe essere stato progettato per essere scaricato, a parte il fatto che era una cartella “Documenti”.
Nessuno di questi dump è stato indicato come dump “finale”, quindi è possibile che DoppelPaymer si trovi su più file da entrambi questi distretti. Resta da vedere cosa faranno in futuro.
I distretti scolastici hanno così tanto da lottare quest’anno. Avere a che fare con gli attori delle minacce e la risposta agli incidenti non dovrebbe essere tra queste sfide, ma purtroppo lo sono anche queste.