LOS ANGELES – Les pirates ont publié samedi des données du district scolaire de Los Angeles, un jour après que le surintendant Albert Carvalho a déclaré qu’il ne négocierait pas ou ne paierait pas de rançon au syndicat criminel.
Certaines captures d’écran du piratage ont été examinées par le Los Angeles Times et semblent montrer des numéros de sécurité sociale. Mais l’étendue totale de la libération reste incertaine.
La publication des données est intervenue deux jours plus tôt que la date limite fixée par le syndicat qui se fait appeler Vice Society – et s’est produite en réponse apparente à ce qu’il a pris comme réponse finale de Carvalho quant à savoir si le district paierait les pirates pour empêcher la divulgation d’informations privées et également pour recevoir des clés de décryptage pour déverrouiller certains systèmes informatiques de district.
“Ce que je peux vous dire, c’est que la demande – n’importe quelle demande – serait absurde”, a déclaré Carvalho au Times vendredi. «Mais ce niveau de demande était, très franchement, insultant.
“Et nous ne sommes pas sur le point d’entamer des négociations avec ce type d’entité.”
Dans une déclaration publiée plus tard dans la journée, il a ajouté : « Le paiement d’une rançon ne garantit jamais la récupération complète des données, et Los Angeles Unified pense que l’argent public est mieux dépensé pour nos étudiants plutôt que de capituler devant un syndicat du crime infâme et illicite.
L’ampleur du vol est en cours d’évaluation par les autorités fédérales et locales.
Carvalho a déclaré vendredi qu’il pensait que les informations confidentielles des employés n’avaient pas été volées.
Il était moins sûr des informations relatives aux étudiants, qui pouvaient inclure les noms, les notes, les horaires des cours, les dossiers disciplinaires et le statut d’invalidité.
Quoi qu’il en soit, a-t-il déclaré, le district fournira une assistance à toute personne potentiellement lésée par la divulgation de données, notamment en mettant en place une ligne de «réponse aux incidents» au (855) 926-1129. Ses heures d’ouverture sont de 6 h à 15 h 30, du lundi au vendredi, à l’exception des principaux jours fériés aux États-Unis.
Depuis l’attaque, qui a été découverte le 3 septembre, le deuxième plus grand district scolaire du pays a travaillé en étroite collaboration avec les forces de l’ordre locales, le FBI et l’Agence fédérale de cybersécurité et de sécurité des infrastructures ou CISA.
CISA a posté un avertissement aux établissements d’enseignement au sujet de Vice Society immédiatement après l’attaque de LAUSD sans confirmer directement que le syndicat en était responsable.
La date limite initiale du syndicat, lundi, a été publiée sur le site Web sombre géré par Vice Society, qui avait officieusement confirmé à au moins trois journalistes qu’il était responsable du piratage.
Vendredi, Carvalho n’a pas contesté les comptes rendus des médias identifiant Vice Society. Il a poursuivi sa pratique antérieure consistant à ne pas nommer le montant qui est demandé.
La revendication de responsabilité est devenue officielle avec une publication sur le dark web. UN capture d’écran montre le logo Vice Society et son slogan “ransomware with love”. Le site répertorie comme “partenaires” les entités qu’il prétend avoir victimisées. Ceux-ci incluent désormais le LA Unified School District, qui est répertorié avec le logo du district.
“Les articles seront publiés à l’heure de Londres le 4 octobre 2022 à 12 heures”, indique la page Web. Ce délai tomberait huit heures plus tôt à Los Angeles une fois ajusté pour le changement d’heure. Un compte à rebours indiquait le temps.
Cette année, les pirates ont attaqué au moins 27 districts scolaires et 28 collèges américains, selon l’expert en cybersécurité Brett Callow, analyste des menaces pour la société de sécurité numérique Emsisoft. Au moins 36 de ces organisations se sont fait voler des données et les ont publiées en ligne, et au moins deux districts et un collège ont payé les attaquants, a déclaré Callow.
Callow faisait partie des blogueurs et des professionnels de la cybersécurité qui ont confirmé dimanche matin que les données avaient été publiées.
Vice Society à elle seule a touché au moins neuf districts scolaires et collèges ou universités jusqu’à présent cette année, selon le décompte de Callow.
Lorsque l’attaque a été découverte, les techniciens du district ont rapidement arrêté toutes les opérations informatiques pour limiter les dégâts, et les responsables ont pu ouvrir les campus comme prévu le mardi après le week-end férié. L’arrêt et le piratage se sont combinés pour entraîner une semaine de perturbations importantes, car plus de 600 000 utilisateurs ont dû réinitialiser leurs mots de passe et les systèmes ont été progressivement contrôlés à la recherche de violations et restaurés.
Au cours de ce redémarrage, les techniciens ont trouvé ce qu’on appelle fils-pièges laissés derrière cela aurait pu entraîner davantage de dommages structurels ou de nouveaux vols de données. La restauration des systèmes de district est en cours, mais il y avait aussi un autre élément de l’attaque : l’exfiltration de données.
Les pirates ont affirmé avoir volé 500 Go de données.
Le district a également mis en place un groupe de travail sur la cybersécurité et le conseil scolaire a accordé à Carvalho des pouvoirs d’urgence pour prendre toute mesure connexe qu’il juge nécessaire.
Les systèmes internes les plus endommagés se trouvent dans la division des installations. Carvalho a déclaré qu’il était nécessaire de créer des solutions de contournement afin que les entrepreneurs puissent continuer à être payés et que les réparations et la construction puissent se poursuivre dans les délais.
