En 2020, 77 ataques de ransomware individuales afectaron a más de 1740 escuelas y universidades, lo que podría afectar a 1,36 millones de estudiantes. Estimamos que estos ataques cuestan a las instituciones educativas 6.620 millones de dólares solo en tiempo de inactividad. La mayoría de las escuelas también se habrán enfrentado a costos de recuperación astronómicos al intentar restaurar computadoras, recuperar datos y apuntalar sus sistemas para prevenir futuros ataques.
En los últimos años, los ataques de ransomware se han convertido en una preocupación cada vez mayor para las escuelas y universidades de todo el mundo. Eliminan sistemas clave, cierran las escuelas durante días y evitan que los maestros accedan a los planes de lecciones y a los datos de los estudiantes. Pero lo que notamos en 2020 fue que, si bien las cifras de ataques individuales disminuyeron significativamente, la cantidad de escuelas y estudiantes afectados por los ataques creció exponencialmente. Esto sugiere que los piratas informáticos apuntaron a distritos escolares más grandes con presupuestos anuales más grandes, con la esperanza de causar una mayor interrupción y aumentar sus demandas de pago de rescate.
Esta tendencia también parece haber continuado en 2021, ejemplificada por la “extraña” solicitud de rescate de $ 40 millones hecha a las Escuelas Públicas del Condado de Broward en abril.
Entonces, ¿cuál es el verdadero costo de estos ataques de ransomware en el sector educativo en los EE. UU., Cómo ha cambiado la amenaza del ransomware en los últimos años y qué ha sucedido en la primera mitad de 2021?
Para averiguarlo, nuestro equipo de investigadores recopiló información sobre todos los ataques de ransomware que afectan a escuelas y universidades desde 2018. Sin embargo, muchas entidades son reacias a revelar ataques de ransomware, especialmente cuando se han pagado cantidades de rescate. A menudo, solo cuando la escuela tiene que reconocer la violación debido a sistemas interrumpidos o datos perdidos de los estudiantes, la información sobre el ataque se divulga al público. Si este último es el caso, estos informes se habrán incluido en nuestro estudio.
Nuestro equipo examinó varios recursos educativos diferentes (noticias de TI especializadas, informes de filtración de datos y herramientas de informes estatales) para recopilar la mayor cantidad de datos posible sobre los ataques de ransomware a los proveedores de educación de EE. UU. Luego, aplicamos datos de estudios sobre el costo del tiempo de inactividad para estimar un rango del costo probable de los ataques de ransomware a escuelas y universidades. Debido a las limitaciones para descubrir este tipo de infracciones, creemos que las cifras solo arañan la superficie del problema.
Resultados clave
En 2020:
- 77 ataques de ransomware individuales en escuelas y universidades: una disminución del 20 por ciento con respecto a 2019
- Más de 1,740 escuelas y universidades diferentes se vieron potencialmente afectadas, un aumento del 39 por ciento con respecto a 2019
- 1.358.035 estudiantes individuales podrían haberse visto afectados, un aumento del 67 por ciento con respecto a 2019
- Las cantidades de ransomware variaron de $ 10,000 a más de $ 1 millón
- El tiempo de inactividad varió desde una interrupción mínima (gracias a las frecuentes copias de seguridad de datos) hasta meses tras meses de tiempo de recuperación
- En promedio, las escuelas pierden casi 7 días debido al tiempo de inactividad y pasan 55,4 días recuperándose del ataque.
- Los piratas informáticos recibieron al menos $ 1,909,058 en pagos de rescate
- El costo total de estos ataques se estima en alrededor de $ 6.620 millones.
Recientemente, muchas escuelas han sido objeto de intentos de doble extorsión en los que los piratas informáticos no solo los bloquean de los sistemas críticos, sino que también roban datos y amenazan con publicarlos en línea si no se paga el rescate. Los ejemplos recientes incluyen el Distrito Escolar Independiente de Somerset, el Distrito Escolar de la Comunidad Union y el Distrito Escolar de Affton.
¿Qué estado tuvo la mayor cantidad de ataques de ransomware en escuelas y universidades en 2020?
Como podemos ver en el mapa anterior, Texas tuvo la mayor cantidad de ataques de ransomware, representando el 13 por ciento de los ataques en 2020. Pero como el estado con la segunda población más alta de los EE. UU., Esto no es una gran sorpresa. El estado más poblado, California, ocupó el segundo lugar con 9 ataques de ransomware reportados en 2020.
Según la cantidad de estudiantes potencialmente afectados por los ataques de ransomware en estas escuelas y universidades, el estado más afectado cambia en consecuencia.
Nevada tuvo el mayor número de estudiantes afectados en 2020 con 328,991 estudiantes afectados por una sola infracción. Los piratas informáticos apuntaron al Distrito Escolar del Condado de Clark, que es el quinto distrito escolar más grande de los EE. UU. Con 374 escuelas individuales. Como el condado no pagó el rescate solicitado, los piratas informáticos (Maze) arrojaron los registros de los estudiantes. El informe de violación de datos presentado dice que se pensaba que 44.139 estudiantes habían sido afectados por este aspecto del ataque. El condado y su personal y estudiantes también enfrentaron continuas interrupciones del sistema en el mes siguiente.
Debido a su mayor número de ataques, Texas también tuvo un gran número de estudiantes afectados: 245,460 en total. Esto fue seguido de cerca por Virginia (195,408) y Maryland (115,038).
Nevada vio el mayor porcentaje de estudiantes afectados por ataques de ransomware en 2020
Con un distrito escolar tan grande siendo atacado en 2020, no sorprende que sea el estado con el porcentaje más alto (54%) de estudiantes afectados por ataques de ransomware el año pasado.
Después de Nevada estaban Virginia (el 10,5 por ciento de los estudiantes afectados) y Maryland (el 8,8 por ciento de los estudiantes afectados). Aquellos con el mayor número de ataques, Texas y California, vieron que el 3.6 por ciento y menos del uno por ciento de sus estudiantes se vieron afectados por ataques de ransomware, respectivamente.
¿Cuánto costaron estos ataques de ransomware a las escuelas y universidades en 2020?
Como se mencionó anteriormente, las demandas de rescate variaron drásticamente de $ 10,000 a más de $ 1 millón. Además, solo un puñado de proveedores divulga públicamente las cifras involucradas (solo pudimos encontrar solicitudes de rescate para 9 de los 77 ataques). Es comprensible que las organizaciones no quieran discutir los montos de los rescates o si los han pagado, ya que pueden incentivar más ataques.
Lo que sí sabemos, sin embargo, es lo siguiente:
- La Universidad de California en San Francisco pagó 1,14 millones de dólares a los piratas informáticos de NetWalker después de que encriptaran datos dentro de los servidores de la Facultad de Medicina.
- Imperial Valley College pagó a los piratas informáticos de Sodinokibi $ 55,068 después de que dejaron inaccesibles los servidores de la universidad 11 días antes de que comenzara el semestre de otoño
- El Distrito Escolar Independiente de Athens pagó a los piratas informáticos $ 50,000 para recuperar el acceso a las calificaciones de los estudiantes, las tareas de clase, los horarios de los estudiantes y las comunicaciones con los maestros
- El Distrito Escolar Independiente de Sheldon negoció un pago de $ 206,931 de $ 350,000 porque un servidor crucial había sido encriptado en el ataque.
- La Universidad de Utah pagó a los piratas informáticos 457.000 dólares para evitar que liberaran datos robados durante el ataque.
Añadiendo tiempo de inactividad
Si bien pocas escuelas y universidades revelan si pagaron o no los rescates y cuánto estuvo involucrado, a menudo se informa sobre el tiempo de inactividad y los períodos de recuperación que surgen debido a estos ataques. Esto se debe a que las escuelas a menudo cierran a los estudiantes durante varios días y / o los sistemas están inactivos durante largos períodos de tiempo.
Como ya hemos visto, los servidores pueden desconectarse durante horas, semanas e incluso meses. Y en algunos casos, los datos y / o las computadoras son irrecuperables.
Según las cifras que encontramos (para 39 de 77 ataques), las escuelas sufrieron un tiempo de inactividad promedio de poco menos de 7 días en 2020. Pero el proceso de recuperación duró 55,4 días. El tiempo de inactividad se relaciona con el cierre de las escuelas o la falta de disponibilidad de los servicios, mientras que el período de recuperación puede significar que las escuelas están abiertas pero que ciertos servidores, dispositivos y servicios no están disponibles.
Según estas cifras, los ataques de ransomware pueden haber causado 201 días de tiempo de inactividad y 1,108 días de tiempo de recuperación en 2020.
Entonces, ¿cuánto podría haber costado esto a los proveedores de educación?
Una estimación de 2017 coloca el costo promedio por minuto de tiempo de inactividad en $ 8,662 (en 20 industrias diferentes). Esto significaría que el costo del tiempo de inactividad para las organizaciones educativas en 2020 fue de alrededor de $ 6.620 millones. Esto es $ 1.6 mil millones menos que la cifra de 2019 ($ 8.2 mil millones) pero más de 10.5 veces la cifra de 2018 de $ 623.7 millones.
Aunque estas cifras pueden parecer extremadamente altas, están en línea (y quizás estimaciones conservadoras) con las cifras reveladas públicamente por las escuelas. Por ejemplo, las Escuelas Públicas del Condado de Baltimore informaron costos de recuperación de alrededor de $ 8.1 millones después del ataque de noviembre de 2020. Y la recuperación de la Universidad Estatal de Michigan de su ataque de mayo de 2020 se estima en alrededor de $ 3 millones.
¿Cómo se compara 2020 con años anteriores?
El ransomware realmente comenzó a afianzarse en el sector de la educación en 2019. Con solo 10 ataques reportados en 2018 pero 96 reportados en 2019, esto fue un aumento interanual del 860 por ciento. Como ya hemos señalado, esta cifra se redujo en 2020 a 77. Pero, como hemos visto, esto parece haber estado a favor de ataques más grandes y dirigidos a distritos escolares más grandes con presupuestos más altos y mayor número de estudiantes.
También puede tener mucho que ver con la pandemia y el cierre de muchas escuelas durante un período prolongado. Si observamos los ataques por mes, podemos ver que realmente aumentaron en la segunda mitad de 2019. Los ataques se mantuvieron altos a principios de 2020, pero volvieron a bajar en marzo (al comienzo de la pandemia). Con muchos trabajando desde casa, esto potencialmente eliminó parte de la efectividad del malware, ya que los profesores y los estudiantes no estaban conectados a los sistemas escolares.
Sin embargo, las cosas empezaron a mejorar cuando las escuelas volvieron a empezar después de las vacaciones de verano. Esto nuevamente sugiere que las cifras más bajas para 2020 no se deben a mejores defensas de las escuelas o menos ataques de piratas informáticos, sino a la educación en el hogar que muchos enfrentaron durante varios meses.
- Numero de ataques:
- 2020 – 77
- 2019 – 96
- 2018-10
- Número de estudiantes potencialmente afectados:
- 2020 – 1.358.035
- 2019 – 814,496
- 2018 – 41.627
- Tiempo de inactividad promedio:
- 2020 – 6,93 días
- 2019 – 6,85 días
- 2018-5 días
- Tiempo medio de recuperación:
- 2020 – 55,4 días
- 2019 – 41,7 días
- 2018 – 25 días
- Tiempo de inactividad causado (casos conocidos):
- 2020-201 días (29 casos)
- 2019-267 días (39 casos)
- 2018-15 días (3 casos)
- Tiempo de inactividad estimado causado (basado en casos conocidos y promedio desconocido):
- 2020 – 530,64 días
- 2019 – 657,45 días
- 2018 – 50 días
- Costo estimado del tiempo de inactividad:
- 2020 – $ 6.6 mil millones
- 2019 – $ 8.2 mil millones
- 2018 – $ 623,7 millones
¿Cómo está 2021 buscando ataques de ransomware en escuelas y universidades?
Como podemos ver en la tabla anterior, los ataques de ransomware en las escuelas se han mantenido relativamente altos en la primera mitad de 2021. Y dado que muchos ataques a menudo solo se revelan después de que ocurrieron, estas cifras pueden aumentar aún más en los próximos meses.
Según lo que ya se informó para el año, el tiempo de inactividad y los tiempos de recuperación son significativamente más bajos que en años anteriores (poco menos de 4 días y 26 días respectivamente). Sin embargo, dado que el impacto de los ataques a menudo no se siente / informa con precisión hasta meses después, anticipamos que las cifras de tiempo de inactividad de 2021 estarán más en línea con años anteriores.
Sin embargo, lo que podemos ver es que los montos de los rescates son elevados. Aparte de los astronómicos $ 40 millones que ya hemos cubierto (que los piratas informáticos redujeron a $ 10 millones), varias otras escuelas han informado rescates por valor de cientos de miles. Las escuelas de Logansport informaron una cifra de rescate de $ 777,000, las Escuelas Públicas de Buffalo una cifra de $ 100,000- $ 300,000, el Distrito Escolar Independiente de Judson una cifra de $ 547,000 y el Distrito Escolar de Clover Park una cifra de $ 350,000. Con base en todas estas cifras, esto crea una solicitud de rescate promedio de al menos $ 2,35 millones y hasta $ 8,39 millones.
Metodología
Nuestra investigación encontró 222 ataques de ransomware en total que afectaron a 3.880 escuelas y universidades. A partir de esto, pudimos determinar cuánto rescate se había exigido, cuánto se había pagado y cuánto tiempo de inactividad se había causado como resultado de los ataques. Luego usamos las cifras que pudimos encontrar para crear estimaciones (un promedio por año) de la cantidad de tiempo de inactividad causado por un ataque de ransomware y lo aplicamos a las escuelas donde no había cifras de tiempo de inactividad disponibles. Usando un costo promedio por minuto de tiempo de inactividad ($ 8,662) de un informe reciente, pudimos crear estimaciones de cuánto pueden haber costado los cierres de escuelas y las interrupciones graves. Esto solo tuvo en cuenta la cantidad de tiempo de inactividad que sufrieron las escuelas debido a los ataques de ransomware; no cubre el período de recuperación ni los gastos posteriores.
Solo hemos incluido ataques de ransomware que se han dirigido específicamente a una instalación educativa, no un ataque de ransomware que haya afectado a un tercero utilizado por las escuelas o universidades, por ejemplo, Blackbaud.
Siempre que fue posible, asignamos el ataque al mes en el que ocurrió. Sin embargo, en algunos casos, es posible que el ataque se haya asignado al mes en el que se informó debido a la falta de datos.
Investigadores de datos: George Moody, Rebecca Moody
FUENTE: Todos los Derechos Reservados Comparitech original en ingles https://www-comparitech-com.translate.goog/blog/information-security/school-ransomware-attacks/?_x_tr_sl=en&_x_tr_tl=es&_x_tr_hl=es&_x_tr_pto=ajax,se,elem,sc