El gigante de la educación en línea K12 Inc. pagó un rescate después de que sus sistemas fueran atacados por el ransomware Ryuk a mediados de noviembre.
K12 crea planes de estudio de aprendizaje en línea personalizados para que los estudiantes aprendan desde casa desde el jardín de infantes hasta el grado 12. Más de 1 millón de estudiantes han utilizado K12 para aprender desde casa en lugar de en entornos tradicionales de escuelas públicas.
K12 anunció esta semana que sufrieron un ataque de ransomware a mediados de noviembre que les hizo bloquear algunos de sus sistemas de TI para evitar la propagación del ataque.
“A mediados de noviembre, detectamos actividad no autorizada en nuestra red, que desde entonces se ha confirmado como un ataque criminal en forma de ransomware. Tras identificar una actividad inusual del sistema, iniciamos rápidamente nuestra respuesta, tomando medidas para contener la amenaza y bloquear sistemas afectados, notificando a las autoridades policiales federales y trabajando con un equipo forense de terceros líder en la industria para investigar y ayudar con el incidente “, dijo K12 a BleepingComputer en un comunicado.
Este ataque no afectó su Sistema de Gestión de Aprendizaje (LMS) en línea para ofrecer contenido educativo o escuelas autónomas afiliadas. También afirman que la mayoría de los sistemas principales, incluidos los sistemas de nómina, contabilidad e inscripción, no se vieron afectados.
Sin embargo, los atacantes obtuvieron acceso a algunos sistemas administrativos que contenían datos de los estudiantes y otra información.
K12 pagó un rescate a Ryuk para evitar la fuga de datos
Fuentes de la industria de la ciberseguridad le han dicho a BleepingComputer que el ransomware Ryuk afectó a K12 Inc.
Al realizar ataques, se sabe que la banda de ransomware Ryuk roba datos sin cifrar antes de cifrar los dispositivos. Estos datos luego se utilizan en intentos de ‘doble extorsión’ donde la banda de ransomware amenaza con filtrar datos robados si no se paga un rescate.
Como la filtración de datos de los estudiantes sería desastrosa para cualquier empresa, K12 utilizó su seguro cibernético para pagar el rescate de Ryuk. No se sabe cuánto se pagó, pero como parte del pago, los actores de amenazas le aseguraron a K12 que no divulgarían los datos robados.
“Ya hemos trabajado con nuestro proveedor de seguros cibernéticos para realizar un pago al atacante de ransomware, como un paso proactivo y preventivo para garantizar que la información obtenida por el atacante de nuestros sistemas no se divulgue en Internet ni se divulgue de otra manera …”
“Si bien siempre existe el riesgo de que el actor de la amenaza no se adhiera a los términos negociados, según las características específicas del caso y la orientación que hemos recibido sobre el ataque y el actor de la amenaza, creemos que el pago fue una medida razonable para tomar para evitar el uso indebido de cualquier información que el atacante haya obtenido “, anunció K12.
Los negociadores de ransomware advierten cada vez más que los actores de amenazas no siempre cumplen sus promesas con respecto a los datos robados.
Debido a esto, la firma de negociación de ransomware Coveware les dice a las víctimas que no tiene sentido pagar un rescate ya que no hay forma de saber con certeza si los datos serán eliminados o mal utilizados en el futuro.
