Varias instituciones de educación superior han confirmado que fueron víctimas de robo de datos relacionado con una falla de seguridad en el software de transferencia de archivos vendido por la empresa de seguridad de TI Accellion, pero la verdadera magnitud de la violación de datos aún no se comprende completamente.
Recientemente se descubrió información confidencial del sistema de la Universidad de California, la Universidad Yeshiva, la Universidad de Miami, la Universidad de Colorado, la Facultad de Medicina de la Universidad de Stanford y la Universidad de Maryland en Baltimore en relación con Accellion. ciberataque, que tuvo lugar a principios de este año.
Todas las instituciones han confirmado que son clientes de Accellion y están investigando activamente el incidente.
Los archivos de datos que incluyen información personal, como números de seguro social, fueron robados de las universidades y se pusieron a disposición para su descarga a través de un sitio web llamado Clop que es administrado por ciberdelincuentes. Una muestra de documentos revisados por Inside Higher Ed incluía transcripciones académicas, registros médicos, becas de investigación y contratos de trabajo.
Se sabe que el sitio web de Clop publica muestras de datos robados y luego exige un rescate para no publicar el resto de la información.
Hasta ahora, ninguna institución ha dicho que se haya visto afectada por un ataque de ransomware, aunque las instituciones han informado experiencias diferentes. La Universidad de Maryland, Baltimore, no recibió ninguna nota de rescate y no se colocó ningún software en su sistema, según un portavoz. Sin embargo, el sistema de la Universidad de California advirtió que han circulado correos electrónicos masivos amenazantes.
Una vulnerabilidad en el software de transferencia de archivos de Accellion fue explotada por primera vez por los ciberdelincuentes en diciembre de 2020 y luego nuevamente en enero de 2021, según encontró un informe reciente encargado por Accellion a la empresa de análisis forense de ciberseguridad FireEye.
Más de 3.000 organizaciones, incluidas empresas, organismos gubernamentales, hospitales y universidades, son clientes de Accellion, que se promociona como especialista en el intercambio seguro de archivos.
El sitio web de Clop ha estado publicando datos de la violación de Accellion de forma escalonada y algunas organizaciones vieron alrededor de 50 carpetas de datos robados publicados en entregas, dijo Brett Callow, analista de amenazas de la empresa de ciberseguridad Emsisoft, en un correo electrónico. Señaló que el sitio web todavía está agregando nuevas víctimas, que podrían incluir más universidades.
Los grupos de ciberdelincuentes como Clop, Ryuk, Netwalker y DoppelPaymer que comparten datos en sitios web con dominios .onion se asocian comúnmente con ataques de ransomware, una estrategia en la que se utiliza software malicioso para bloquear el acceso a los sistemas informáticos hasta que se pague un rescate. Recientemente, esta estrategia de extorsión ha evolucionado para que los delincuentes no solo exijan un pago a cambio de restablecer el acceso, sino también un pago para detener la publicación o venta de información sensible
.
Los datos robados en relación con la violación de datos de Accellion es el último ejemplo de la ciberamenaza en evolución que enfrentan las universidades. Apenas el mes pasado, la División Cibernética del FBI advirtió que las instituciones educativas están siendo blanco de ataques de ransomware, y el IRS advirtió sobre una estafa de reembolso de impuestos dirigida a direcciones de correo electrónico .edu. Moody's Investors Service declaró la semana pasada que los ciberataques dirigidos a la educación superior plantean un riesgo crediticio cada vez mayor para las universidades, ya que las clases y las operaciones esenciales pueden interrumpirse fácilmente.
La Universidad de Maryland, Baltimore, descubrió que la información robada se estaba compartiendo en el sitio web de Clop luego de "una ola de ataques de phishing en nuestra red", dijo Alex Likowski, director de relaciones con los medios de la universidad.
“De inmediato cerramos todo el tráfico de la dirección IP en cuestión y luego investigamos el origen de los ataques. Esa investigación nos llevó a un sitio que indicaba que un número limitado de archivos UMB habían sido comprometidos ”, dijo Likowski.
Desde que se enteró de la infracción, la UMB se ha puesto en contacto con todas las personas afectadas, así como con las fuerzas del orden público estatales y federales, dijo Likowski.
“También hemos explicado el problema a toda la comunidad del campus”, dijo Likowski. "Continuaremos monitoreando el sitio de los piratas informáticos y observando otros signos de actividad ilegal".
Accellion ha solucionado todas las vulnerabilidades conocidas en el software de la aplicación de transferencia de archivos que atacaron los ciberdelincuentes, dijo Jonathan Yaron, director ejecutivo de la empresa, en un comunicado en línea publicado a principios de marzo.
El software Accellion afectado se ha descrito como un producto heredado para el que la empresa ya estaba planeando retirar el soporte. Su fecha de finalización ahora se adelantó para fines de este mes, dijo Yaron en un comunicado.
¿Qué pueden hacer las universidades?
La supervisión de la web oscura, incluidos sitios web como Clop, es parte de las operaciones de seguridad habituales de la mayoría de los colegios y universidades, dijo Brian Kelly, director de ciberseguridad de Educause, una organización de membresía para profesionales de TI en la educación superior.
“El monitoreo de este tipo de información es parte de una estrategia holística de ciberseguridad y proporciona indicadores de compromiso más allá del ransomware”, dijo Kelly.
El Centro de análisis e intercambio de información de redes de investigación y educación, o REN-ISAC, de la Universidad de Indiana, desempeña un papel importante para ayudar a las instituciones a mantenerse al tanto de las ciberamenazas, dijo Kelly.
REN-ISAC monitorea la web oscura y envía informes a las instituciones de educación superior que se cree que son víctimas de ataques. Dentro de Educause, los profesionales de la ciberseguridad también se apoyan mutuamente compartiendo información sobre amenazas y respuestas, así como discutiendo las mejores prácticas, dijo Kelly.
Se anima a los clientes de Accellion a actualizar a una nueva plataforma de transferencia de archivos llamada Kiteworks si aún no lo han hecho, dijo el director ejecutivo Yaron.
Algunas instituciones de educación superior indicaron que dejaron de usar el software de transferencia de archivos de Accellion tan pronto como se enteraron del incidente de seguridad de los datos.
"Todavía estamos en el proceso de investigar la naturaleza y el alcance de este incidente, pero somos conscientes de que la vulnerabilidad puede haber resultado en un acceso no autorizado a los archivos almacenados en la plataforma Accellion", dijo un portavoz de la Universidad Yeshiva en un correo electrónico. . "Hemos confirmado que este incidente se limita a la aplicación Accellion y no ha habido ningún acceso no autorizado a los sistemas informáticos de Yeshiva".
La Universidad de Miami siguió un enfoque similar.
“Tan pronto como nos enteramos del incidente, tomamos medidas inmediatas para investigarlo y contenerlo, incluida la desactivación inmediata del servidor Accellion utilizado para transferencias de archivos seguras”, Megan Ondrizek, directora ejecutiva de comunicaciones y relaciones públicas de Miami, dijo en un correo electrónico. "Según nuestra investigación hasta la fecha, el incidente se limitó al servidor Accellion utilizado para transferencias de archivos seguras y no comprometió otros sistemas de la Universidad de Miami ni afectó a los sistemas externos".
Tanto Miami como Yeshiva dijeron que están trabajando para identificar qué archivos fueron robados y notificarán a cualquier individuo cuya información personal haya sido accedida por personas no autorizadas.
Sé el primero en comentar