网络犯罪分子已经找到了敲诈大学的新方法--窃取敏感信息,然后威胁要在黑暗的网络上分享,除非支付赏金。
在过去的两周里,三家机构成功地成为黑客使用这种方法的目标。第一个是密歇根州立大学,然后是加州大学旧金山分校,最近还有芝加哥哥伦比亚学院。
没有一家机构透露索要了多少赎金。所有人都是使用名为NetWalker的恶意软件攻击的,并被给予6天的付款期限。
据报道,NetWalker背后的网络罪犯运营的一个博客吹嘘说,从这些机构窃取的信息包括社会保险号和其他敏感信息。兰瑟姆泄密等Twitter用户分享了博客上分享的样本数据截图,其中包括护照和银行细节。
时间到了。#NetWalker泄露了MSU(@michiganstate)勒索软件事件的数据。泄漏的第一部分现在可以下载。这只是一个品尝,以显示信息有多敏感。如果不支付赎金,很可能会有更多密歇根州立大学的泄密事件接踵而至。https://t.co/AUoZtE72hb。
-赎金泄露(@ransomleaks)2020年6月4日。
密歇根州立大学(Michigan State University)上周公开表示,它不会向黑客支付赎金-这是一个不同寻常的声明,因为许多机构不选择公开回应赎金要求。据报道,6月4日,黑客开始发布他们从密歇根州立大学窃取的数据,使其可以在黑暗网络上下载。
密歇根州立大学(Michigan State)临时首席信息安全官丹·阿亚拉(Dan Ayala)在一封电子邮件中表示:“向这些罪犯支付报酬只会让这些罪行永久化,并进一步针对其他受害者。”他补充说,不付款的决定是根据执法指导做出的,并得到了大学董事会和校长的支持。
密歇根州立大学的袭击仅限于该机构的物理和天文学部门。目前还不清楚黑客能够获取多少信息,也不知道现在黑客的最后期限已经过了多少。阿亚拉说,他无法透露有关袭击的许多细节,以“保护正在进行的调查的完整性”。
阿亚拉说,随着事态的发展,学生、教职员工都在收到有关情况的最新消息。
他说:我们将继续向所有学生、教职员工提供我们正在进行的调查的最新情况,当我们能够分享的时候,我们可以分享这些信息。这些通信还包括个人网络安全的最佳实践,以及在身份被泄露时保护您的身份的方法。我们正在与外部服务机构合作,最终确定针对受影响个人的身份盗窃保护服务。
阿亚拉说,不支付赎金的决定得到了美国密歇根州州立大学社区的普遍支持,特别是在理解支付这样的金额会使这种做法永久化的情况下。但密歇根州立大学(Michigan State University)的学生政府组织密歇根州立大学(Association Students Of Michigan State University)负责学术事务的副总裁布里安娜·艾洛(Brianna Aiello)表示,学生们担心哪些信息可能被窃取,这是可以理解的。
“从我在社交媒体上从学生那里收集到的信息来看,许多人一直在分享一篇与勒索软件攻击有关的文章,他们似乎对哪些信息可能被泄露感到紧张,”他在一封电子邮件中说。“没有太多人评论密西西比州州立大学如何选择不支付赎金。不过,总体而言,很难收集关于这个问题的感受,因为我们现在不在校园里。“。
网络安全解决方案公司Emsisoft的威胁分析师布雷特·卡洛(Brett Callow)表示,芝加哥哥伦比亚大学(Columbia College Chicago)和加州大学旧金山分校(University of California,San Francisco)似乎在应对攻击方面采取了不同的方式。他说:“他们的数据不再出现在NetWalker的博客上,这表明他们要么支付了赎金,要么通过谈判将信息删除。”
这两家机构都没有回应有关它们是否支付了黑客要求的赎金的问题,也没有回应入侵的规模。和密歇根州立大学一样,这两家机构都表示,他们无法分享太多信息,因为调查仍在进行中。
加州大学旧金山分校(University of California,San Francisco)分享了一份声明,证实“6月1日发现了对我们IT环境特定领域的非法入侵”。
加州大学旧金山分校是美国领先的研究机构之一,致力于寻找新冠肺炎的可能治疗方法。几家媒体报道称,这项研究以及潜在的有利可图的相关知识产权可能使该机构成为黑客的诱人目标。
该大学在一份声明中表示:“我们认为,我们的行动隔离了对目标区域的入侵。”重要的是,我们的病人护理服务运营没有受到影响,这起事件也不会影响我们的整个校园网络。“。
他说:“我们已聘请一间资讯科技保安公司,并已与执法部门联络。在他们的协助下,我们正在对事件进行彻底的评估,包括确定哪些信息(如果有的话)可能被泄露。“声明继续说。“为了维护调查的完整性,我们将需要限制目前我们可以分享的内容。”
从历史上看,被称为勒索软件的恶意软件曾被黑客用来阻止对计算机网络和文件的访问-给目标造成了极大的不便。可以通过向黑客支付赎金来恢复访问,或者目标可以选择重建和替换丢失的系统和信息-这是一个潜在的艰巨和昂贵的过程,具体取决于攻击的规模。
成功的勒索软件攻击在高等教育中相对少见,但它们确实会发生。门罗学院(Monroe College)是去年遭受高调勒索软件攻击的少数几家机构之一。这对学院的影响是巨大的-学生、教职员工有几天无法访问大学网站、学习管理系统或电子邮件。
为了应对这类攻击,更多的组织已经投资于系统来备份他们的数据,这意味着如果信息访问被阻止,数据不会丢失。卡洛说,这迫使黑客改变了他们的策略。2019年末,使用勒索软件的黑客不仅开始阻止访问信息,还威胁要在黑暗的网络上分享信息-损害了相关组织或机构的声誉。
卡洛说,有时黑客不仅会将信息发布到黑暗网络上,还会提出将其出售给出价最高的人。他指出,在与黑客打交道时没有保证-即使他们拿到了他们要求的赎金,他们也可能出售被盗的信息。
未来隐私论坛的青年和教育隐私主管阿米莉亚·万斯(Amelia Vance)表示:“法律要求高等教育机构保护学生信息,但真正严重的信息泄露事件由来已久,并不总是得到很好的处理。《未来隐私论坛》(Future Of Privacy Forum)的青少年和教育隐私主管阿米莉亚·万斯(Amelia Vance)说。
通常情况下,机构被要求报告州一级的数据泄露事件。万斯说,涉嫌泄密也必须向美国教育部报告,但对于什么构成应报告的数据泄露存在一些困惑。如果你看了指南,就会发现不清楚。它可以涵盖一切。但也有很多明确的信息泄露事件,我会将最近发生的这些事件描述为信息泄露。
万斯说,机构可以尝试防止敏感数据泄露的一种方式是确保它们不会持有不需要的信息。她说:我们需要更多的机构来继续保持良好的数据卫生。
另一个选择是让大学对他们被要求保留的敏感信息进行加密。万斯说,这将使窃取的信息在黑暗的网络上几乎一文不值,因为犯罪分子破解加密需要花费时间和金钱,而在机构层面加密一切的问题是可用性。万斯说,如果一个系统过于复杂,人们就会绕过任何系统。很难为不同的机构找到正确的方法来做到这一点。";万斯说,无论这个系统是什么,人们都会绕来绕去。要找到合适的方式让不同的机构做到这一点,是一个很困难的平衡。
印第安纳大学(Indiana University)应用网络安全研究中心(Center For Application Cybersecurity Research At Indiana University)高级安全分析师迈克·斯坦菲尔德(Mike S.Stanfield)表示,与许多公司不同的是,大学的不同寻常之处在于,它们经常试图保持相对开放的网络,以鼓励合作和易用性。他说,在试图保护网络安全的同时保持开放是极其困难的。
目前,许多教职员工都不愿在家工作在可能不安全的网络上,这使得大学IT领导者的工作变得更加困难。“这些袭击来得非常不是时候,很多人都在家工作,我们都有这些漏洞百出的边界,”他说。
许多勒索软件攻击都是钓鱼电子邮件的结果,用户点击一个链接,无意中下载了恶意软件。近几个月来,钓鱼电子邮件利用与新冠肺炎大流行相关的恐惧和困惑来发挥自己的优势。斯坦菲尔德说,为了阻止钓鱼电子邮件取得成功,各机构可以培训大学的员工识别看起来可疑的电子邮件。他说,双因素识别也是一个非常重要的防御措施。
Education ause的网络安全总监布莱恩·凯利(Brian Kelly)也认为这些都是重要的步骤,但它们不一定能防御NetWalker的网络攻击。凯利说,在公开场合,这些首席信息官可能不会分享太多关于这些攻击是如何发生的信息,以及他们正在寻找的指标,但有一些网络是IT领导人分享信息的,比如印第安纳大学的Ken-ISAC网络。凯利说,我们可以相互帮助,而不会向黑客透露我们已经找到了他们。
凯利和斯坦菲尔德一致认为,对高等教育中的IT领导者来说,监控这些网络并与他们的同行交谈是很重要的。网络攻击正在不断演变,如果不能跟上新的情报,可能会产生可怕的后果。
“这是一场持续不断的猫捉老鼠的游戏,”凯利说。“一旦我们了解了一个威胁,新的威胁就会出现。