Ένας 19χρονος φοιτητής από το Worcester της Μασαχουσέτης συμφώνησε να παραδεχθεί την ενοχή του για ένα τεράστιο κυβερνοχώρο στο Powerschool που εξαπάτησε εκατομμύρια δολάρια σε αντάλλαγμα για να μην διαρρεύσει τα προσωπικά δεδομένα εκατομμυρίων φοιτητών και εκπαιδευτικών.
Σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ, ο Matthew D. Lane παραδέχτηκε ένοχος για τέσσερις ομοσπονδιακές κατηγορίες για μία μετράνε κάθε συνωμοσία εκβιασμού στον κυβερνοχώρο, εκβιασμούς στον κυβερνοχώρο, μη εξουσιοδοτημένη πρόσβαση σε προστατευμένους υπολογιστές και επιδεινωμένη κλοπή ταυτότητας.
Ο Θόρυβος και δικαστικά έγγραφα δηλώνουν ότι η Lane και οι συνωμότες του παραβίασαν μια αμερικανική εταιρεία τηλεπικοινωνιών το 2022, όπου έκλεψαν εμπιστευτικές πληροφορίες για τους πελάτες. Κατά τη διάρκεια αυτής της παραβίασης, απέκτησαν επίσης πρόσβαση σε διαπιστευτήρια Powerschool που ανήκουν σε υπάλληλο στην εταιρεία τηλεπικοινωνιών που ενήργησε ως εργολάβος για την Powerschool.
Αφού προσπάθησαν να εξαπορίσουν την εταιρεία τηλεπικοινωνιών, η DOJ λέει ότι διεξήγαγε μια επίθεση σε μια εκπαιδευτική εταιρεία που θα πληρώσει λύτρα.
“Στις ή περίπου στις 14 Μαΐου 2024, η Lane έστειλε μηνύματα CC-1 ότι εάν το θύμα 1 δεν πληρώνει τα λύτρα, η λωρίδα και η CC-1 θα μπορούσαν να πουλήσουν τα κλεμμένα δεδομένα θύματος 1.[‘]ll pay ‘, “διαβάζει το Καταγγελία DOJ.
Ενώ η καταγγελία δεν αναφέρει ρητά το PowersChool, οι πηγές ανέφεραν στον BleePingComputer ότι είναι η εκπαιδευτική εταιρεία που αναφέρεται από το DOJ.
Η καταγγελία λέει ότι ο ηθοποιός απειλής χρησιμοποίησε τα διαπιστευτήρια που κλέφθηκαν από τον εργολάβο Powerschool για να παραβιάσουν την εταιρεία και να κλέψουν δεδομένα για εκατομμύρια φοιτητές και καθηγητές τον Δεκέμβριο του 2024.
Όπως αναφέρθηκε προηγουμένως από τον BleepingComputer, οι ηθοποιοί απειλής παραβίασαν την πλατφόρμα υποστήριξης του Powerschool, το PowerSource, και χρησιμοποίησαν ένα εργαλείο συντήρησης για να κατεβάσουν τις βάσεις δεδομένων του σχολείου. Αυτές οι βάσεις δεδομένων περιελάμβαναν τα προσωπικά στοιχεία των 62,4 εκατομμυρίων φοιτητών και 9,5 εκατομμυρίων καθηγητών από 6.505 σχολικές περιοχές στις ΗΠΑ, τον Καναδά και άλλες χώρες.
Αυτά τα δεδομένα αποτελούνταν από διαφορετικές πληροφορίες, ανάλογα με την περιοχή, συμπεριλαμβανομένων των πλήρων ονομάτων των φοιτητών και της σχολής, των φυσικών διευθύνσεων, των αριθμών τηλεφώνου, των κωδικών πρόσβασης, των πληροφοριών γονέων, των στοιχείων επικοινωνίας, των αριθμών κοινωνικής ασφάλισης, των ιατρικών δεδομένων και των βαθμών.
Το DOJ λέει ότι η Powerschool έλαβε ζήτηση λύτρας για περίπου 2,85 εκατομμύρια δολάρια στο Bitcoin στις 28 Δεκεμβρίου 2024. Η απειλή προειδοποίησε ότι εάν η πληρωμή δεν έγινε, τα κλεμμένα δεδομένα θα διαρρεύσουν “παγκοσμίως”.
Ενώ ο BleepingComputer ανέφερε προηγουμένως ότι η PowerSchool κατέβαλε ζήτηση λύτρας για να αποτρέψει τη διαρροή δεδομένων, δεν είναι ακόμη σαφές πόσο πληρώθηκε.
Ωστόσο, ακόμη και μετά την πλήρωση του PowerSchool, οι απειλητικοί ηθοποιοί προσπάθησαν να εκδιώξουν μεμονωμένα τις σχολικές περιοχές για να πληρώσουν περαιτέρω λύτρα για να μην διαρρεύσουν δεδομένα σπουδαστών.
Σύμφωνα με τις ειδοποιήσεις του σχολείου και Databreachs.netαυτές οι απαιτήσεις λύτρας που ισχυρίζονται ότι προέρχονται από λαμπερούς κυνηγούς, μια παραγωγική ομάδα απειλών που είναι γνωστοί για ένα ευρύ φάσμα παραβιάσεων, συμπεριλαμβανομένων των επιθέσεων κλοπής δεδομένων χιονιού και παραβίασης δεδομένων 2022 στην AT & T που επηρέασε 109 εκατομμύρια ανθρώπους.
Ενώ πολλοί από τους απειλές που εμπλέκονται στις επιθέσεις χιονιού και AT & T έχουν συλληφθεί κατά τη διάρκεια του περασμένου έτους [1, 2, 3]είναι πιθανό ότι άλλα μέλη πραγματοποίησαν τις επιθέσεις, ή ότι τα copycats προσπαθούν να φυτέψουν μια ψεύτικη σημαία
Εκτός από την παραβίαση του Powerschool, η Lane αντιμετωπίζει επίσης κατηγορίες για την προσπάθεια εξαπάτησης της εταιρείας τηλεπικοινωνιών που εδρεύει στις ΗΠΑ, όπου ζήτησαν λύτρα 200.000 δολαρίων και έκαναν απειλές κατά των στελεχών της εταιρείας εάν το λύτρα δεν καταβλήθηκε.
Η Lane συμφώνησε να παραδεχθεί την ενοχή του για τις τέσσερις μετρήσεις και αντιμετωπίζει μια υποχρεωτική ελάχιστη ποινή δύο ετών για κλοπή ταυτότητας και έως και πέντε χρόνια σε κάθε μία από τις άλλες κατηγορίες.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
