Een Engels college heeft tijdelijk alle acht van zijn campussen gesloten en verplaatst alle onderwijs online na een “grote” ransomware aanval “uitgeschakeld” zijn IT-systemen.
South and City College Birmingham (SCCB) heeft zijn 13.000 studenten verteld dat alle colleges nu via het web zullen worden gegeven – en heeft hen aangespoord om de rest van deze week weg te blijven van de campussen van het college.
“Het college heeft geleden onder een grote ransomware-aanval op ons IT-systeem die veel van onze kern-IT-systemen heeft uitgeschakeld,” zei het instituut in een notitie aan studenten die op zijn website zijn geplaatst. “De gebouwen van het College zijn vanaf maandag 15 maart een week lang gesloten voor studenten, zodat onze IT-specialisten het probleem kunnen oplossen.”
Jongere studenten – de 14- tot 16-jarigen die beroeps- en academische kwalificaties krijgen op het college – zullen maandag beginnen terug te keren, zei het college.
Er was geen verdere informatie over de identiteit van de betrokken ransomware-bemanning. We hebben SCCB om commentaar gevraagd.
De nieuwswebsite FE Week voor professionals in het hoger onderwijs meldde eerder deze week dat “servers en werkstations die zijn verbonden met het domein van [het college] waren geplunderd door criminelen, waarbij “een hoeveelheid gegevens” was geëxfiltreerd.
De autoriteiten en het Information Commissioner’s Office zijn op de hoogte gebracht, aldus de FE Week.
Ransomware-aanvallen zijn vrij gebruikelijk in het COVID-19-tijdperk nadat een groot deel van de wereld verschoof naar werken op afstand. Het is relatief ongebruikelijk voor een organisatie om ronduit te verklaren dat het is getroffen door ransomware, waarbij de meeste Britse organisaties (waaronder de University of the Highlands and Islands) de voorkeur geven aan de coy-uitdrukking “cyberincident”.
Onderwijsinstellingen zijn slechts het nieuwste modieuze doelwit onder ransomware afpersers. Meestal bestaan hun aanvallen uit het vinden van een kwetsbaar apparaat op een doelnetwerk en het invoeren ervan via dat, of een medewerker die een met malware beladen e-mailbijlage opent. Hoe dan ook, de criminelen krijgen voet aan de grond in het netwerk van waaruit ze hun software kunnen implementeren.
De ransomware zelf werkt, zoals de meeste Reg-lezers weten, door het versleutelen van alle bestanden op het netwerk en het achterlaten van een losgeld nota met contactgegevens voor de afpersers. In ruil voor een forse uitbetaling, meestal zeven cijfers, bieden de criminelen aan om de decoderingssleutel naar het slachtoffer te sturen. Variaties op het thema zijn onder andere het zoeken naar en vernietigen van back-ups als onderdeel van de aanval; gedurende een bepaalde periode in een doelnetwerk blijven bestaan om regelmatige back-upruns te vergiftigen; en het stelen van kopieën van gevoelige en waardevolle gegevens om apart losgeld te betalen.
Deze vorm van criminaliteit is zeer spraakmakend geworden, niet in de laatste plaats vanwege nieuwsberichten, maar ook omdat de daders zichzelf zien als een snee boven gewone criminelen – en sommige mensen geloven in dat zelf gecreëerde imago.
Onethisch
Infosec bedrijf Recorded Future, misschien onverstandig, gaf een ransomware crimineel beweren te zijn de leider van de REvil bende een platform van waaruit de afperser opschepte over zijn “merk reputatie”.
De podcasters zijn niet de enige: de aantrekkingskracht van de schande van ransomware-bendes heeft ook de BBC verleid, die zich vorig jaar schijnbaar als een krachtvermenigvuldiger liet gebruiken door een ransomware-bende die onderhandelde over een uitbetaling met een slachtoffer.
Recorded Future publiceerde een screenshot van een cybercrimeforum waar een oplichter opschepte over het bellen naar de media… om maximale druk uit te oefenen” op ransomware-slachtoffers. Blijkbaar maakte de medewerker van het intelbedrijf geen verband tussen hun eigen activiteit en de manipulatie die de boeven beoefenden.