Dos recientes ataques cibernéticos en el sector educativo son evidencia inquietante de que las bandas de ransomware se están volviendo más agresivas y creativas.

El sector educativo - y en especial la educación superior - es un objetivo atractivo para los ciberdelincuentes. Contiene mucha información confidencial y personal, tiene una desproporcionada cantidad de superficies de ataque y la mayoría de las instituciones manejan un enfoque descentralizado para su seguridad de TI.

Y, como lo descubrieron la Universidad Bluefield en Virginia Occidental y el distrito de colegios públicos de Minneapolis, los actores de las amenazas están adoptando estrategias cada vez más descaradas y peligrosas. Analizamos lo que sucedió y que se puede hacer para que proteja a su institución.

El código rojo de Bluefield

A finales de abril de 2023, Bluefield informó a sus profesores y estudiantes de un incidente de ciberseguridad, pero les aseguró que no había signos de “fraude financiero o robo de identidad” como resultado.

Desafortunadamente para Bluefield, Avos (también conocido como AvosLocker) el grupo que realizó el ataque, aún no había terminado. El primer día de mayo, Avos se aprovechó del hecho de que todavía tenía el control del sistema de comunicaciones de emergencia RamAlert de Bluefield.

Avos utilizó el RamAlert para bombardear a los estudiantes de Bluefield y a sus padres, a los miembros de la facultad, contratistas y personal administrativo con mensajes de texto amenazantes o presuntuosos.

“¡Hola estudiantes de la Universidad de Bluefield! Somos Avoslocker Ransomwar. Hackeamos la red de la universidad para extraer 1.2 Terabytes de archivos... Tenemos información de admisiones de miles de estudiantes. Su información personal corre el riesgo de ser filtrada en el blog de la Dark Web.

¡NO PERMITA que la Universidad mienta sobre la gravedad del ataque! Como prueba filtraremos una muestra el lunes 1 de mayo de 2023 a las 18:00:00 GMT (2:00:00 PM)”

Esta estrategia no solo desmintió el mensaje tranquilizador que trata de transmitir la Universidad de Bluefield, sino que también estuvo diseñada para infundir miedo en los destinatarios de los mensajes, de forma que presionaran a las directivas de Bluefield a realizar el pago que exige Avos. De hecho, Avos incitó a los destinatarios a acudir a los medios de comunicación.

Esta táctica es similar a la del grupo de ransomware denominado Clop. Clop ha empezado a enviar correos electrónicos a los clientes de sus víctimas y recomendándoles que “llamen o escriban a [tal negocio] y le pidan que proteja su privacidad!!!”

En situaciones como estas, las directivas llenas de ansiedad podrían llegar a ignorar sus propios protocolos establecidos para una filtración cibernética y terminan por ceder ante las demandas de pago para evitar más daños a su reputación.

Por otro lado, en junio de 2023, los estudiantes de la Universidad de Manchester recibieron el siguiente correo electrónico de una banda de ransomware que aún no se ha identificado:

“Hemos robado 7 Terabytes de datos, incluyendo información personal y confidencial de estudiantes y empleados, información de investigaciones, datos médicos, informes policiales, resultados de pruebas de drogas, bases de datos, documentos de recursos humanos, documentos financieros y mucho más.”

Como era de esperarse, algunos estudiantes temieron por su propia seguridad física y expresaron su descontento por la forma en como la universidad le dio manejo a las filtraciones. Uno de ellos manifestó por Twitter que consideraba que los empleados y los estudiantes necesitaban hacer huelgas hasta que no se resolviera el asunto.

Medusa amenaza a Minneapolis

El grupo Medusa también está buscando la forma de evitar las respuestas planificadas ante ataques de ransomware mediante el uso del miedo y la intimidación.

En marzo de 2023, Medusa atacó al distrito de colegios públicos de Minneapolis. Robó más de 200.000 archivos y casi inmediatamente comenzó a publicarlos. En este caso, cabe resaltar que Medusa no se limitó a un solo “sitio de divulgación” en la Dark Web, como lo suelen hacer los ciberdelincuentes. También hizo uso de plataformas de fácil acceso como Facebook y Twitter.

Esto habría sido suficientemente angustiante aún si la información hubiese sido limitada a la información básica de los estudiantes. Pero lo que Medusa hizo público incluía acusaciones de abuso y agresiones por parte de niños contra los empleados del distrito escolar, incluyendo los nombres y direcciones de los acusados y los acusadores. Si el ataque hubiera sido realizado contra una universidad o facultad, no cabe duda de que Medusa no habría dudado en revelar detalles similares sobre casos de agresiones al interior de las instalaciones.

Las implicaciones de lo que podría suceder si este tipo de material se hiciese público son extremadamente preocupantes y fáciles de imaginar. Sin embargo, parece ser que es exactamente eso lo que Medusa busca con este tipo de filtraciones estratégicas.

Manejo del riesgo cibernético - ¿Qué se puede hacer?

No solamente aquellos que trabajan en el sector de educación serán vulnerables a estas nuevas tácticas. Los proveedores de servicios médicos, las universidades, las agencias gubernamentales del orden local y nacional, por tan solo nombrar algunos, tienen desafíos similares con presupuestos limitados, cada vez con más superficies de ataque, y actores de las amenazas que están dispuestos y en capacidad de atacar a las comunidades vulnerables.

Anticiparse - La debida diligencia de terceros es esencial. El riesgo de los terceros se encuentra en aumento y los actores de las amenazas tomarán ventaja de las vulnerabilidades en las cadenas de suministro seguras de las empresas para ubicar “puertas traseras” en sus sistemas. Usted debería identificar a los proveedores de servicios críticos de sus empresas y a otros terceros, y desarrollar una matriz de riesgo clásica que empiece por darle prioridad a los eventos de “alto impacto y alta probabilidad”.

Capacitarse - Las fallas humanas son con frecuencia el centro de una exitosa filtración en la Tecnología de la Información (TI). Mucha gente no presta atención durante las capacitaciones en seguridad de TI: mantenga a su personal actualizado con respecto a las amenazas más recientes y asegúrese de que los materiales de capacitación se actualicen de forma constante.

Las directivas de su organización también deben estar informadas sobre sus planes de respuesta ante un ataque cibernético. Esto minimizará las posibilidades de que se tomen decisiones precipitadas en el fulgor del momento.

Comunicación - La colaboración entre equipos de seguridad de TI en los diferentes departamentos es esencial para garantizar que todos se encuentren en sintonía. Por ejemplo, la Universidad Estatal de Michigan tuvo que pagar un millón de dólares a una banda de ransomware que descubrió que su departamento de física no había protegido correctamente su VPN.

Y no deje de lado la importancia de una comunicación clara y honesta con los afectados por un ataque. Demostrar transparencia sobre el problema y lo que se está haciendo para remediarlo, hará que para los atacantes malintencionados sea más difícil a el poder aprovecharse de la incertidumbre.

Evaluar - El monitoreo continuo de sus superficies de ataque y del entorno de las amenazas es vital. ¿Usted sabe exactamente cuántos servidores tiene, a través de los cuales sus defensas podrían ser vulneradas? Es posible que se sorprenda de la frecuencia con la que ese número puede cambiar.

Automatizar - No es posible que este tipo de monitoreo continuo sea realizado de forma manual. Aproveche el poder que brinda un experto externo para obtener un sistema automatizado que le brinde una visión general de sus constantemente cambiantes superficies de ataque.

Con Orbit Security, Usted puede:

  • Descubrir sus superficies de ataque utilizando nuestro algoritmo patentado: ‘Network Footprint Discovery ML’ de Orbit Security. Desde un único dominio principal, se identifica con un alto grado de precisión toda su infraestructura interconectada, independientemente de quién la administre.
  • Analizar las evaluaciones de inteligencia de amenazas obtenidas de cada dominio y subdominio de su infraestructura, o ver toda su exposición al riesgo por medio de las seis categorías de amenazas de nuestra metodología: Filtración, Configuración, Correo electrónico, DNS, HTTP y SSL / TLS.
  • Mitigar los riesgos de acuerdo con las claras tareas prioritarias que resultan de las evaluaciones de Orbit Security; mejorar el estado de su seguridad; mantener una supervisión sobre sus terceros involucrados, y; presentar informes a sus directivas con certidumbre.

La presentación de informes es esencial para cualquier equipo de seguridad de TI, y expresarse en el idioma de los directivos es de crucial importancia. Nosotros ayudamos al proporcionar informes estandarizados:

Informes de gestión

Nuestra calificación de ciberseguridad presenta la información compleja de una manera que es fácil de entender, tanto para las partes interesadas fuera de su equipo, como para los altos directivos, lo que le permite comunicar de una manera clara y efectiva cuáles son sus puntos débiles en la seguridad y qué recursos son necesarios para abordarlos.

Informes de riesgos de proveedores

Usted será notificado de forma inmediata si se reduce la calificación de seguridad de algún tercero relacionado con su organización. Thomas Murray se puede poner en contacto con ellos, a petición suya, para brindarles acceso gratuito y completo a su propia evaluación de inteligencia de amenazas, mejorando así la seguridad en todo su ecosistema.

Orbit Security

Orbit Security

Calificaciones de seguridad para mejorar la gestión de la superficie de ataque y el riesgo de terceros. Supervise las infracciones y vulnerabilidades que podrían explotar los actores de amenaza.
Descubra más

Contacte un experto

Luis Carlos Nino

Luis Carlos Nino

Director | Analítica

lnino@thomasmurray.com
Daniela Gomez

Daniela Gomez

Ejecutiva de cuentas | Ventas de SaaS y éxito del cliente

dgomez@thomasmurray.com