Athens ISD has a message for its cyberattackers: Nope
Athens ISD has recovered its most vital database;
No ransom will be paid to cybercriminals who encrypted district data;
Critical safety protocols required time to analyze, identify and recover uninfected data from a backup server;
Employees’ computer hard drives must be wiped and reinstalled;
District still on track for Aug. 10 virtual return to school; announcement will be made next week to verify;
Cybersecurity engineers find no evidence of data being removed from district servers;
Virus used in attack appears to be brand new and originated from overseas;
As tech teams worked to recover data, district simultaneously negotiated ransom amount from $50,000 to $25,000;
Cybersecurity protocols are being re-evaluated to mitigate future attacks.
On Tuesday morning, the tech team at Athens ISD became aware the district had fallen victim to a ransomware attack, which encrypted many years’ worth of vital data stored on school district servers. On Wednesday, the AISD Board of Trustees authorized payment of up to $50,000 to cybercriminals in return for a crypto key to unlock the data. At the same time, the district’s IT department, aided by regional and federal cyber response teams, executed a careful and meticulous response protocol with the hope that one of the backup systems might yet hold uninfected data. On Thursday, the second backup server was analyzed, and there it was: an uninfected Skyward backup only a few days old.
“It felt incredible,” reports AISD Technology Director Tony Brooks, who has worked nearly round the clock since discovering the attack. “The Skyward database is the most important one we have.”
Skyward went back online Friday afternoon, making it possible for student registration to continue in preparation for a virtual return to school. At this time, the new Aug. 10 start date seems likely to remain in place, though an announcement will be made as soon as possible in the event more time is needed for recovery.
“We’ve built a new domain controller and recovered Skyward, but we have a lot of work left to do. Everything will be brand new when we’re done. We have to make sure all the data is clean,” said Brooks. “We won’t be able to recover data from employees’ individual computers. We’ll have to go to every computer in the district and install new hard drives.”
Brooks also noted that even as they worked to recover data, negotiation efforts reduced the ransom demand from $50,000 down to $25,000.
“Though the payment was approved, we never stopped trying to find a solution,” said AISD Superintendent Dr. Janie Sims. “The board deserves credit for recognizing how dire the loss of data would have been to our district, requiring months to rebuild, delaying the school year significantly, and ultimately costing us much more than the ransom amount.”
Engineers from the cybersecurity firm Fortinet have confirmed there is no evidence of any data being removed from district servers by the criminals. “They are able to tell if any data left our district by looking at our logs,” said Brooks, “and there is no sign of data removal. We have no reason to believe anyone’s personal information was taken.”
“Mr. Brooks deserves a massive amount of credit for his efforts and professionalism,” said Sims. “He worked tirelessly. And we’re also grateful for the ongoing assistance from the Region 10 Educational Service Center, Fortinet, and the Center for Internet Security.”
The experts from Fortinet say the virus — identified as COVID4YOU — originated from overseas and appears to be a new one.
“Cybercrime is getting worse and worse every day,” said Brooks. “It’s a huge battle. No amount of money can keep any organization totally safe.”
The effort to identify weak spots and make improvements in the district’s online security protocols is ongoing.
_____
AISD recupera datos y rechaza a los ciberatacantes
● Athens ISD ha recuperado su base de datos más vital;
● No se pagará ningún rescate a los ciberdelincuentes que cifraron los datos del distrito;
● Los protocolos de seguridad críticos requerían tiempo para analizar, identificar y recuperar datos no infectados de un servidor de respaldo;
● Los discos duros de las computadoras de los empleados deben limpiarse y reinstalarse;
● El distrito aún planea el regreso virtual a la escuela el 10 de agosto; se hará un anuncio la próxima semana para verificar;
● Los ingenieros de ciberseguridad no encuentran evidencia de que se retiraron datos de los servidores del distrito;
● El virus utilizado en el ataque parece ser nuevo y originado en el extranjero;
● Mientras los equipos de tecnología trabajaban para recuperar datos, el distrito negoció simultáneamente un monto de rescate de $ 50,000 a $ 25,000;
● Los protocolos de ciberseguridad se están reevaluando para mitigar futuros ataques.
Athens ISD tiene un mensaje para sus ciberatacantes: No.
El martes por la mañana, el equipo de tecnología de Athens ISD se dio cuenta de que el distrito había sido víctima de un ataque de ransomware, que cifró los datos vitales almacenados en los servidores del distrito escolar durante muchos años. El miércoles, la Junta Directiva de AISD autorizó el pago de hasta $50,000 a los ciberdelincuentes a cambio de una clave criptográfica para desbloquear los datos. Al mismo tiempo, el departamento de tecnología del distrito, con la ayuda de equipos regionales y federales de respuesta cibernética, ejecutó un protocolo de respuesta cuidadoso y meticuloso con la esperanza de que uno de los sistemas de respaldo aún pueda contener datos no infectados. El jueves, se analizó el segundo servidor de copia de seguridad, y allí estaba: una copia de seguridad Skyward no infectada de solo unos días de antigüedad.
"Se sintió increíble", informa el director de tecnología de AISD, Tony Brooks, quien ha trabajado incansablemente desde que descubrió el ataque. "La base de datos Skyward es la más importante que tenemos".
Skyward volvió a estar en línea el viernes por la tarde, haciendo posible que el registro de estudiantes continúe en preparación para un regreso virtual a la escuela. En este momento, es probable que la nueva fecha de inicio del 10 de agosto permanezca en su lugar, aunque se hará un anuncio lo antes posible en caso de que se necesite más tiempo para la recuperación.
"Hemos creado un nuevo controlador de dominio y recuperamos Skyward, pero nos queda mucho trabajo por hacer. Todo será nuevo cuando hayamos terminado. Tenemos que asegurarnos de que todos los datos estén limpios ”, dijo Brooks. "No podremos recuperar datos de las computadoras individuales de los empleados. Tendremos que ir a todas las computadoras del distrito e instalar nuevos discos duros ".
Brooks también señaló que incluso mientras trabajaban para recuperar datos, los esfuerzos de negociación redujeron la demanda de rescate de $50,000 a $25,000.
"Aunque se aprobó el pago, nunca dejamos de tratar de encontrar una solución", dijo la Superintendente de AISD, Dra. Janie Sims. "La junta directiva merece crédito por reconocer lo grave que habría sido la pérdida de datos para nuestro distrito, que requiriera meses para reconstruir, retrasó el año escolar de manera significativa y finalmente nos costó mucho más que el monto del rescate".
Los ingenieros de la firma de ciberseguridad Fortinet han confirmado que no hay evidencia de que los delincuentes eliminen datos de los servidores del distrito. "Son capaces de saber si algún dato salió de nuestro distrito mirando nuestros registros", dijo Brooks, "y no hay signos de eliminación de datos". No tenemos motivos para creer que se haya tomado la información personal de nadie ".
"El Señor Brooks merece una gran cantidad de crédito por sus esfuerzos y profesionalismo ", dijo Sims. “Trabajó incansablemente. Y también estamos agradecidos por la asistencia continua del Centro de Servicios Educativos de la Región 10, Fortinet y el Centro de Seguridad de Internet ".
Los expertos de Fortinet dicen que el virus, identificado como COVID4YOU, se originó en el extranjero y parece ser uno nuevo.
"El delito cibernético está empeorando cada vez más", dijo Brooks. "Es una gran batalla. Ninguna cantidad de dinero puede mantener a una organización totalmente segura ".
El esfuerzo para identificar puntos débiles y realizar mejoras en los protocolos de seguridad en línea del distrito está en curso.
