Erro do empreiteiro levou ao ataque de ransomware das escolas de Baltimore

Um empreiteiro de segurança das Escolas Públicas do Condado de Baltimore abriu por engano um anexo de e-mail de phishing suspeito em um ambiente inseguro, levando ao ataque de ransomware.

Um ataque de ransomware em 2020 contra as escolas públicas do condado de Baltimore começou com um erro de empreiteiro, de acordo com um relatório divulgado na segunda-feira pelo Gabinete do Inspetor Geral de Educação de Maryland.

As Escolas Públicas do Condado de Baltimore, um distrito que representa 115.000 alunos, divulgaram um grande ataque de ransomware em novembro de 2020. Poucos detalhes foram fornecidos sobre as especificidades do ataque na época, mas o sistema escolar se referiu a ele como um “ataque catastrófico ao nosso sistema de tecnologia”. A escola foi fechada para alunos na segunda-feira, 30 de novembro e na terça-feira, 1º de dezembro.

Mais detalhes foram fornecidos no relatório de segunda -feira , publicado pelo Escritório do Inspetor Geral de Educação (OIGE) de Maryland. O papel do inspetor geral de educação, atualmente Richard P. Henry para o estado, é detectar e prevenir fraudes, bem como assegurar que os fundos do estado sejam alocados adequadamente.

Segundo o relatório, o OIGE iniciou sua investigação “depois de receber uma denúncia alegando que o sistema de Escolas Públicas do Condado de Baltimore (BCPS) desconsiderou as recomendações feitas pelo Escritório de Auditoria Legislativa de Maryland (OLA) durante seus relatórios de auditoria de 2008, 2015 e 2020 .”

“Foi alegado ainda que as repetidas descobertas do OLA indicavam que a divisão de TI do BCPS não estava preparada para o ataque cibernético e falhou em proteger as informações de identificação pessoal (PII) de alunos, funcionários e aposentados do BCPS”, dizia o relatório. “Por fim, foi alegado que o BCPS falhou em divulgar o custo associado às demandas de ransomware, a recuperação de informações e a melhoria da rede de TI após o ataque cibernético”.

O relatório do OIGE descobriu que o ataque cibernético ocorreu 15 dias antes da interrupção da rede BCPS em 24 de novembro, quando um educador recebeu um e-mail de phishing com um anexo que tentou abrir, mas não conseguiu. O funcionário então contatou um “contato técnico do BCPS”, que é um membro da equipe do BCPS dedicado a lidar com consultas básicas de TI, que concluiu que o e-mail era suspeito.

O contato técnico então encaminhou o e-mail para o contratante de segurança de TI do distrito BCPS. A investigação descobriu que o contratado “abriu por engano o e-mail com o anexo usando sua conta de domínio de e-mail BCPS não segura e não em seu domínio de e-mail seguro”. Foi esse erro que entregou o malware à rede do BCPS.

A investigação do OIGE encontrou mais problemas que contribuíram para o devastador ataque de ransomware.

“Uma análise do software antivírus usado no momento do incidente determinou que ele não foi capaz de detectar o programa de malware usado durante o ataque cibernético”, diz o relatório. “Além disso, o malware usado pelo(s) agente(s) da ameaça foi programado para atrasar sua execução inicial para evitar a detecção imediata. Esse atraso permitiu que o malware desativasse sistematicamente funções críticas na rede BCPS que poderiam ter impedido o malware de facilitar seu ataque .”

O OIGE determinou que, ao contrário da reclamação, o distrito escolar havia implementado várias das recomendações do OLA, embora não tivesse seguido a recomendação de realocar servidores de banco de dados locais. Após o ataque, o distrito mudou para um ambiente de nuvem criptografado.

O relatório do OIGE determinou que o ataque de ransomware até o momento custou ao distrito escolar mais de US$ 9,6 milhões entre custos de recuperação, atualizações do sistema e migração para a nova plataforma.

Um porta-voz das Escolas Públicas do Condado de Baltimore compartilhou uma declaração com a TechTarget Editorial em resposta ao relatório do OIGE.

“O relatório do OIGE destaca os extensos e imediatos esforços de recuperação do BCPS que agora posicionaram o sistema anos à frente de outros sistemas escolares em todo o estado e nação em defesa cibernética”, dizia o comunicado. “O superintendente Darryl Williams fez esforços notáveis ​​para atender às necessidades de infraestrutura de tecnologia do sistema antes do ataque cibernético em sua primeira proposta de orçamento operacional para o sistema escolar, no entanto, esses pedidos não foram financiados”.

Ele continuou: “Além disso, é importante observar que o Federal Bureau of Investigations (FBI) instruiu o BCPS a abster-se de compartilhar informações sobre o ataque durante e após a investigação. O BCPS já implementou muitas das recomendações do relatório do OIGE e seus os esforços de recuperação foram citados nacionalmente como o padrão ouro de prevenção e defesa. O BCPS foi uma vítima – assim como dezenas de outros sistemas escolares e instituições governamentais e de saúde em todo o país que foram alvo de ataques cibernéticos sofisticados em infraestruturas técnicas críticas – – e a culpa recai exclusivamente sobre os perpetradores que facilitaram o ataque.”

Fonte: https://www.techtarget.com/