Получил выкуп, но продолжил шантаж: коротко о том, почему не стоит доверять хакерам

Даже видео с удалением данных PowerSchool оказалось частью большого спектакля.

Злоумышленник, организовавший громкую кибератаку на PowerSchool в декабре 2024 года, перешёл к прямому шантажу отдельных школьных округов в США и Канаде. Он требует выкуп в обмен на неразглашение ранее похищенной информации. Теперь под угрозой не только компания, но и десятки учебных заведений, ставших жертвами утечки, несмотря на предпринятые в прошлом году попытки нейтрализовать хакера.

PowerSchool осведомлена о попытках вымогательства, направленных против её клиентов. Компания подтверждает, что речь идёт не о новой атаке, а о повторном использовании данных, украденных 28 декабря. Однако, как выяснилось, злоумышленники проникли в систему ещё в августе и сентябре, получив доступ к клиентскому порталу PowerSource посредством скомпрометированных учетных записей. Через этот портал они подключились к инструменту удаленного администрирования и скачали базы данных образовательных учреждений.

Содержание баз данных варьировалось в зависимости от школы, но обычно включало полные имена учеников и сотрудников, адреса, номера телефонов, пароли, контактную информацию родителей, номера социального страхования, медицинские сведения и даже оценки. По утверждению хакера, в его распоряжении оказались данные 62,4 миллиона учащихся и 9,5 миллиона преподавателей из более чем 6 тысяч учебных заведений в США, Канаде и других странах.

После инцидента PowerSchool выплатила выкуп, чтобы предотвратить утечку данных, и получила от преступника видео, демонстрирующее удаление украденной информации. Однако, как это часто случается, злоумышленник не выполнил своё обещание. Теперь данные используются для целенаправленного шантажа отдельных школ. Toronto District School Board, крупнейший школьный округ Канады, подтвердил получение письма от вымогателя с требованием выплаты за нераспространение информации.

PowerSchool признаёт, что решение о выплате было непростым, но считает, что в тот момент это был единственный способ защитить клиентов и учащихся. Тем не менее, специалисты по безопасности подчеркивают, что ни одно доказательство удаления данных нельзя считать надежным, в отличие от дешифровщика, подлинность которого можно проверить на практике.

Компания продолжает сотрудничать с властями США и Канады и предлагает пострадавшим бесплатную двухлетнюю программу по мониторингу кредитной истории и защите от кражи личности. Однако новый виток шантажа показывает, что даже после завершения атаки компании и пользователи остаются уязвимыми, а выплата выкупа не гарантирует прекращение угроз.

Аналогичный случай произошёл недавно с Change Healthcare, дочерней компанией UnitedHealth, когда злоумышленники также получили выкуп за удаление данных, но затем обманули жертву и повторно потребовали деньги, угрожая новой утечкой. В обоих случаях скомпрометированные данные становятся инструментом долгосрочного давления, а жертвы теряют контроль над ситуацией и несут финансовые потери.

Источник — https://www.securitylab.ru/