De cara al nuevo año escolar, sabemos que las instituciones educativas tienen mucho de qué preocuparse. Asignaciones de maestros. Programa de desarrollo. Recopilación de suministros. Preparando aulas.
Pero un problema debería ser la preocupación de los administradores escolares y las juntas de educación más que la mayoría: proteger sus redes contra el cibercrimen.
En el año escolar 2018-2019, la educación fue el objetivo principal para el
malware troyano , la categoría de amenaza número uno más detectada (y por lo tanto más generalizada) para todas las empresas en 2018 y principios de 2019 . El adware y el ransomware también se sintieron particularmente atraídos por el sector educativo el año pasado, convirtiéndose en su primer y segundo objetivo más deseado entre las industrias, respectivamente.
Para analizar mejor estas amenazas, extrajimos la telemetría en instituciones educativas de nuestros productos comerciales, así como de los rangos de IP que se conectan desde dominios .edu a nuestros productos de consumo. Lo que descubrimos fue que de enero a junio de 2019, el adware, los troyanos y las puertas traseras fueron las tres amenazas más comunes para las escuelas. De hecho, el 43 por ciento de todas las detecciones educativas eran adware, mientras que el 25 por ciento eran troyanos. Otro 3 por ciento eran puertas traseras.
Entonces, ¿qué nos dice esto que esperamos para el año escolar 2019–2020? Por un lado, las instituciones educativas deben prepararse para un ataque continuo de ciberataques, ya que los elementos que los hicieron atractivos para los delincuentes no han cambiado. Sin embargo, lo que es más importante, al examinar las tendencias en el delito cibernético y considerar soluciones a las debilidades que los hicieron susceptibles a los ataques, las escuelas pueden expulsar a los actores de amenazas problemáticas de sus redes para siempre.
¿Por qué educación?
Seguramente hay objetivos más rentables para los cibercriminales que la educación. La tecnología y las finanzas tienen presupuestos exponencialmente más grandes que podrían aprovecharse a través de grandes demandas de rescate. Las operaciones y los datos de atención médica son fundamentales para la atención al paciente: la pérdida de cualquiera de los dos podría ocasionar la pérdida de vidas.
Pero los ciberdelincuentes son oportunistas: si ven un objetivo fácil maduro con datos valiosos, se aprovecharán. ¿Por qué gastar el dinero y el tiempo desarrollando código personalizado para vectores de ataque sofisticados cuando prácticamente pueden atravesar una puerta abierta hacia las redes escolares?
Hay varios factores clave que se combinan para hacer que las escuelas sean objetivos fáciles. La primera es que la mayoría de las instituciones pertenecientes al sector educativo, especialmente las de educación pública, luchan con la financiación. Por lo tanto, la mayoría de su presupuesto se difiere al plan de estudios básico y no a tanta seguridad. La contratación de personal de TI y seguridad, la capacitación en mejores prácticas y la compra de herramientas y programas de seguridad robustos son a menudo una idea de último momento.
El segundo es que la infraestructura tecnológica de las instituciones educativas está desactualizada y es fácilmente penetrada por los cibercriminales. Hardware y sistemas operativos heredados que ya no son compatibles con parches. Software escolar personalizado y sistemas de gestión de aprendizaje (LMS, por sus siglas en inglés) que llevan mucho tiempo pendientes de actualizaciones. Enrutadores Wi-Fi que funcionan con contraseñas predeterminadas. Cada uno de estos hace que las escuelas sean aún más vulnerables a los ataques.
Agregando insulto a las lesiones, las redes escolares están en riesgo porque los estudiantes y el personal se conectan desde dispositivos personales (que pueden haber sido liberados) tanto en las instalaciones como en el hogar. Con una lista rotativa de nuevos estudiantes y, a veces, personal cada año, hay una superficie de ataque más grande y abierta para que los delincuentes se infiltran. De hecho, descubrimos que los dispositivos que se conectan a la red escolar (frente a los dispositivos propiedad de la escuela) representaron 1 de cada 3 compromisos detectados en el primer semestre de 2019.
Para complicar las cosas, los propios estudiantes a menudo piratean el software escolar por puro aburrimiento o ejecutan ataques DDoS para poder cerrar Internet e interrumpir el día escolar. Cada infiltración solo amplía el perímetro de defensa, haciendo que sea casi imposible para aquellos en educación proteger a sus estudiantes y a sí mismos de los ataques cibernéticos que seguramente vendrán.
Y con un acceso tan fácil, ¿qué persiguen exactamente los delincuentes? En una palabra: datos. Las escuelas recopilan y almacenan datos valiosos y confidenciales sobre sus hijos y miembros del personal, desde alergias y trastornos del aprendizaje hasta calificaciones y números de seguridad social. Esta información es muy solicitada por los actores de amenazas, que pueden usarla para mantener las escuelas en busca de rescate o para vender con altos márgenes de ganancia en el mercado negro (los datos que pertenecen a los niños generalmente obtienen un precio más alto).
Amenazas escolares: una mirada más cercana
El adware representó el mayor porcentaje de detecciones en dispositivos escolares en el primer semestre de 2019. Muchas de las familias detectadas, como SearchEncrypt, Spigot y IronCore, se anuncian como motores de búsqueda centrados en la privacidad, complementos de Minecraft u otras herramientas de enseñanza legítimas. En cambio, bombardean a los usuarios con anuncios emergentes, barras de herramientas y redireccionamientos de sitios web. Aunque no es tan dañino como los troyanos o el ransomware, el adware debilita un sistema de defensa ya débil.
El siguiente son los troyanos, que ocuparon una cuarta parte de las detecciones de amenazas en los puntos finales de la escuela en el primer semestre de 2019. En 2018, los troyanos fueron el tema de conversación de la ciudad, y las detecciones de esta amenaza en las organizaciones aumentaron en un 132 por ciento ese año.
Aunque todavía estaba bastante activo en la primera mitad de 2019, vimos que las detecciones de troyanos disminuyeron un poco durante el verano, dando paso a una avalancha de ataques de ransomware . De hecho, los ataques de ransomware contra organizaciones aumentaron un impactante 365 por ciento del segundo trimestre de 2018 al segundo trimestre de 2019. Queda por ver si esto es un indicio de un cambio de táctica a medida que avanzamos hacia el otoño o unas breves vacaciones de verano de los troyanos.
Las dos principales familias de troyanos en educación son las mismas que han estado causando dolores de cabeza a organizaciones de todo el mundo: Emotet y TrickBot. Emotet lidera las detecciones de troyanos en todas las industrias, pero ha crecido a un ritmo acelerado en educación. En H1 2019, Emotet fue el quinto más predominante amenaza identificada en las escuelas, pasando de 11 ª posición en 2018. Mientras tanto TrickBot , primo intimidación de Emotet, representa el mayor tipo de detección en la educación entre los troyanos, tirando en casi un 6 por ciento de todos compromisos identificados.
Emotet y TrickBot a menudo trabajan juntos en ataques combinados contra organizaciones, con Emotet funcionando como un descargador y un módulo de spam, mientras que TrickBot se infiltra en la red y se propaga lateralmente mediante exploits robados de la NSA. A veces el dinero se detiene allí. Otras veces, TrickBot tiene un truco más bajo la manga: el ransomware Ryuk .
Afortunadamente para las escuelas, pero desafortunadamente para nuestros estudios, Malwarebytes detiene estos ataques Emote-drops-TrickBot-drops-Ryuk mucho antes en la cadena, por lo general bloqueando Emotet o TrickBot con su motor de protección en tiempo real o tecnología anti-exploit. El ataque nunca avanza a la etapa de Ryuk, pero nuestra suposición es que muchas más de estas posibles infracciones habrían sido infecciones de ransomware problemáticas para las escuelas si no hubieran tenido las soluciones de seguridad adecuadas.
Amenazas clase 2020
La clase de 2020 puede tener muchas amenazas que enfrentar, ya que algunos distritos ya están lidiando con ataques de regreso a la escuela , según The New York Times . Troyanos como Emotet y TrickBot tuvieron carreras tremendamente exitosas el año pasado (espere que ellos u otro malware multipropósito como ellos) regresen.
Además, el ransomware ya ha hecho olas para un distrito escolar en el condado de Houston , Alabama, lo que retrasó su regreso a clases en 12 días debido a un ataque. Ya sea que se entregue a través de un ataque troyano / mixto o por sí solo, el ransomware y otras amenazas sofisticadas pueden detener las lecciones si no se abordan rápidamente.
En 2019, Malwarebytes ayudó al Distrito Escolar Central East Irondequoit en Nueva York durante un brote crítico de Emotet que un proveedor de seguridad de punto final heredado no pudo detener. Emotet corrió desenfrenado a través del entorno de puntos finales del distrito, infectando 1.400 dispositivos e impactando las operaciones de red. Afortunadamente, Malwarebytes pudo aislar, remediar y recuperar todos los puntos finales infectados en 20 días sin interrumpir por completo la red para los estudiantes o el personal.
Si los equipos de TI de la escuela investigan , ofrecen soluciones de seguridad inteligentes a sus juntas para obtener financiación y ayudan a los estudiantes y al personal a adoptar las mejores prácticas para la higiene en línea, pueden ayudar a garantizar que nuestras instituciones educativas sigan siendo lugares funcionales y seguros para que los estudiantes aprendan.
Sobre el autor