Το Powerschool προειδοποιεί ότι ο χάκερ πίσω από το Cyberattack του Δεκεμβρίου τώρα εκτοπίζει μεμονωμένα σχολεία, απειλώντας να απελευθερώσει τα προηγουμένως κλεμμένα δεδομένα φοιτητών και εκπαιδευτικών, εάν δεν καταβληθεί λύτρα.
“Η Powerschool γνωρίζει ότι ένας ηθοποιός απειλής έχει φτάσει σε πολλαπλούς πελάτες της σχολικής περιοχής σε μια προσπάθεια να τους εξαπορίσει χρησιμοποιώντας δεδομένα από το προηγουμένως αναφερόμενο περιστατικό του Δεκεμβρίου του 2024”, δήλωσε ο Powerschool σε δήλωση προς τον BleePompomputer.
“Δεν πιστεύουμε ότι πρόκειται για ένα νέο περιστατικό, καθώς δείγματα δεδομένων ταιριάζουν με τα δεδομένα που είχαν κλείσει προηγουμένως τον Δεκέμβριο και έχουμε αναφέρει αυτό το θέμα στην επιβολή του νόμου τόσο στους Ηνωμένους Πολιτείες όσο και στον Καναδά και συνεργαζόμαστε στενά με τους πελάτες μας για να τους υποστηρίξουμε.
Η Powerschool ζήτησε συγγνώμη για τις συνεχιζόμενες απειλές που προκλήθηκαν από την παραβίαση και λέει ότι θα συνεχίσουν να συνεργάζονται με τους πελάτες και την επιβολή του νόμου για να ανταποκριθούν στις προσπάθειες εκβιασμού.
Η εταιρεία συνιστά επίσης στους φοιτητές και τη σχολή να επωφεληθούν από τα δωρεάν δύο χρόνια παρακολούθησης της πιστωτικής και προστασίας ταυτότητας για την προστασία από την απάτη και την κλοπή ταυτότητας. Περισσότερες λεπτομέρειες σχετικά με αυτό μπορούν να βρεθούν στην εταιρεία Συχνές ερωτήσεις για το περιστατικό ασφαλείας.
Η Powerschool αντικατοπτρίζει επίσης την επιλογή τους να πληρώσουν τη ζήτηση λύτρας, δηλώνοντας ότι ήταν μια δύσκολη απόφαση, αλλά ελπίζοντας ότι θα προστατεύσει τους πελάτες της.
“Κάθε οργάνωση που αντιμετωπίζει μια επίθεση ransomware ή εκβιασμού δεδομένων έχει μια πολύ δύσκολη και θεωρημένη απόφαση να γίνει κατά τη διάρκεια ενός συμβάντος στον κυβερνοχώρο αυτού του είδους.” Κατά τις ημέρες που ακολούθησαν την ανακάλυψη του περιστατικού του Δεκεμβρίου του 2024, αποφασίσαμε να πληρώσουμε λύτρα, διότι πιστεύαμε ότι είναι προς το συμφέρον των πελατών μας και των φοιτητών και των κοινοτήτων που υπηρετούμε », συνέχισε τη δήλωση Powerschool.
“Ήταν μια δύσκολη απόφαση και αυτή που η ηγετική μας ομάδα δεν έκανε ελαφρά, αλλά θεωρήσαμε ότι ήταν η καλύτερη επιλογή για την πρόληψη των δεδομένων να δημοσιοποιηθούν και θεωρήσαμε ότι ήταν καθήκον μας να αναλάβουμε αυτή τη δράση.
Η παραβίαση των δεδομένων PowerSchool
Τον Ιανουάριο, η Powerschool αποκάλυψε ότι υπέστη παραβίαση της πύλης υποστήριξης πελατών PowerSource μέσω συμβιβασμένων διαπιστευτηρίων. Χρησιμοποιώντας αυτήν την πρόσβαση, οι ηθοποιοί απειλών χρησιμοποίησαν ένα εργαλείο απομακρυσμένης συντήρησης PowerSource για να συνδεθούν και να κατεβάσουν τις βάσεις δεδομένων PowerSchool της σχολικής περιοχής.
Αυτές οι βάσεις δεδομένων περιείχαν διαφορετικές πληροφορίες ανάλογα με την περιοχή, συμπεριλαμβανομένων των πλήρων ονομάτων των φοιτητών και της σχολής, των φυσικών διευθύνσεων, των αριθμών τηλεφώνου, των κωδικών πρόσβασης, των γονικών πληροφοριών, των στοιχείων επικοινωνίας, των αριθμών κοινωνικής ασφάλισης, των ιατρικών δεδομένων και των βαθμών.
Η παραβίαση εντοπίστηκε αρχικά στις 28 Δεκεμβρίου 2024, αλλά η εταιρεία αργότερα αποκάλυψε ότι παραβιάστηκε μήνες νωρίτερα, τον Αύγουστο και τον Σεπτέμβριο του 2024, χρησιμοποιώντας τα ίδια συμβιβασμένα διαπιστευτήρια.
Όπως αναφέρθηκε για πρώτη φορά από τον BleepingComputer, ο χάκερ ισχυρίστηκε ότι έκλεψε τα στοιχεία των 62,4 εκατομμυρίων φοιτητών και 9,5 εκατομμυρίων καθηγητών για 6.505 σχολικές περιοχές σε όλες τις ΗΠΑ, τον Καναδά και άλλες χώρες.
Απαντώντας στην παραβίαση, ο Powerschool κατέβαλε λύτρα για να αποτρέψει τη δημόσια απελευθέρωση των κλεμμένων δεδομένων και έλαβε βίντεο από τον ηθοποιό απειλής που ισχυριζόταν ότι τα δεδομένα είχαν διαγραφεί. Ωστόσο, φαίνεται τώρα ότι ο ηθοποιός απειλής δεν διατηρούσε την υπόσχεσή τους.
Οι εμπειρογνώμονες ασφαλείας και οι διαπραγματευτές ransomware έχουν συμβουλεύσει εδώ και πολύ καιρό εναντίον των εταιρειών που πληρώνουν λύτρα για να αποτρέψουν τη διαρροή των δεδομένων, καθώς οι ηθοποιοί απειλών αποτυγχάνουν όλο και περισσότερο να διατηρήσουν την υπόσχεσή τους να διαγράψουν κλεμμένα δεδομένα.
Σε αντίθεση με ένα κλειδί αποκρυπτογράφησης, το οποίο οι εταιρείες μπορούν να επιβεβαιώσουν τα έργα, δεν υπάρχει τρόπος να επαληθευτεί επαρκώς ότι τα δεδομένα διαγράφονται όπως υποσχέθηκε.
Αυτό παρατηρήθηκε πρόσφατα στην αλλαγή του annsomware της UnitedHealth Healthcare, στην οποία κατέβαλαν ένα ransom στη συμμορία ransomware blackcat για να λάβουν έναν αποκρυπτογραφητή και όχι να διαρρεύσουν δεδομένα.
Ωστόσο, αφού ο Blackcat έβγαλε μια απάτη εξόδου, η θυγατρική πίσω από την επίθεση δήλωσε ότι εξακολουθούν να είχαν τα δεδομένα και να εκδιώξουν την UnitedHealth για άλλη μια φορά.
Πιστεύεται ότι η UnitedHealth πλήρωσε ένα δεύτερο λύτρα για να αποτρέψει και πάλι τη διαρροή των δεδομένων.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
