Спустя пять месяцев после того, как поставщик образовательного программного обеспечения PowerSchool выплатил неназванному злоумышленнику выкуп в обмен на удаление украденных конфиденциальных данных, некоторые клиенты компании теперь получают требования о вымогательстве.
Как стало известно CyberScoop, за последние несколько дней злоумышленник, который может быть той же преступной группировкой, что стоит за атакой, связался с четырьмя клиентами PowerSchool из школьных округов, угрожая утечкой данных, если они не заплатят.
Вымогательные атаки, возникающие в цепочке поставок, демонстрируют постоянный риск, с которым сталкиваются организации, когда поставщик подвергается кибератаке, раскрывающей не только их данные, но и данные других участников цепочки поставок. Последующие попытки вымогательства также подчеркивают, что выплата выкупа за украденные данные не гарантирует их утечку.
«PowerSchool известно, что злоумышленник обратился к нескольким клиентам школьного округа, пытаясь выманить у них данные из ранее зарегистрированного инцидента, произошедшего в декабре 2024 года», — заявил в среду представитель компании. «Мы не считаем, что это новый инцидент, поскольку образцы данных совпадают с данными, украденными ранее в декабре».
Компания не сообщила сумму выкупа. «Мы приняли решение выплатить выкуп, потому что считаем, что это отвечает наилучшим интересам наших клиентов, студентов и сообществ, которым мы служим», — заявил представитель компании.
«Мы посчитали, что это лучший вариант для предотвращения публикации данных, и посчитали своим долгом принять эти меры», — добавил представитель. «Как всегда в подобных ситуациях, существовал риск того, что злоумышленники не удалят украденные данные, несмотря на предоставленные нам заверения и доказательства».
PowerSchool предоставляет школам и школьным округам с детского сада по 12-й класс комплекс облачного программного обеспечения, включая систему информирования учащихся, обслуживая более 60 миллионов учащихся и 18 000 клиентов в более чем 90 странах. Компания заявляет, что среди её клиентов более 90 из 100 крупнейших школьных округов США.
Компания обнаружила подозрительную активность в системе информации об учащихся PowerSchool 28 декабря прошлого года. Компания CrowdStrike, которая ранее предоставляла PowerSchool программное обеспечение для обнаружения и реагирования на конечные точки, а также услуги по поиску угроз, начала расследование обстоятельств атаки на следующий день.
Неназванный злоумышленник получил доступ к системе PowerSchool, используя скомпрометированные учётные данные пользователя службы поддержки на портале PowerSource. Уровень доступа, предоставленный специалисту службы поддержки, включает «достаточные полномочия для доступа к экземплярам базы данных SIS клиента для целей обслуживания», говорится в отчёте CrowdStrike о расследовании , опубликованном в конце февраля.
Согласно отчёту CrowdStrike, в период с 19 по 23 декабря в результате атаки были украдены данные из таблиц «учителя» и «ученики» экземпляров PowerSchool SIS для некоторых клиентов PowerSchool. Компания, занимающаяся реагированием на инциденты, заявила, что не обнаружила никаких свидетельств доступа к системному уровню или вредоносного ПО, а также никаких признаков того, что ИТ-среды клиентов PowerSchool за пределами PowerSource и PowerSchool SIS были скомпрометированы или подвергались риску вторжения в результате атаки.
CrowdStrike обнаружила доказательства более ранней несанкционированной активности в среде PowerSchool, связанной со скомпрометированными учетными данными поддержки, в период с 16 августа по 17 сентября, однако не смогла связать эту активность со злоумышленником, ответственным за вредоносную активность в декабре 2024 года.
Последнее свидетельство активности злоумышленников имело место 28 декабря, когда злоумышленник «использовал скомпрометированные учетные данные службы поддержки, чтобы войти в интерфейс обслуживания PowerSource и взаимодействовать с PowerSchool SIS», говорится в отчете CrowdStrike.
Клиенты PowerSchool обратились в компанию, чтобы сообщить о недавних случаях вымогательства и угроз. Хотя компания не назвала имена пострадавших, школы в Северной Каролине сообщают, что получали сообщения от злоумышленников.
«Мы сообщили об этом случае правоохранительным органам США и Канады и тесно сотрудничаем с нашими клиентами, чтобы оказать им поддержку», — заявил представитель компании. «Мы искренне сожалеем о сложившейся ситуации — нам очень больно, что наши клиенты подвергаются угрозам и снова становятся жертвами злоумышленников»
Как стало известно CyberScoop, за последние несколько дней злоумышленник, который может быть той же преступной группировкой, что стоит за атакой, связался с четырьмя клиентами PowerSchool из школьных округов, угрожая утечкой данных, если они не заплатят.
Вымогательные атаки, возникающие в цепочке поставок, демонстрируют постоянный риск, с которым сталкиваются организации, когда поставщик подвергается кибератаке, раскрывающей не только их данные, но и данные других участников цепочки поставок. Последующие попытки вымогательства также подчеркивают, что выплата выкупа за украденные данные не гарантирует их утечку.
«PowerSchool известно, что злоумышленник обратился к нескольким клиентам школьного округа, пытаясь выманить у них данные из ранее зарегистрированного инцидента, произошедшего в декабре 2024 года», — заявил в среду представитель компании. «Мы не считаем, что это новый инцидент, поскольку образцы данных совпадают с данными, украденными ранее в декабре».
Компания не сообщила сумму выкупа. «Мы приняли решение выплатить выкуп, потому что считаем, что это отвечает наилучшим интересам наших клиентов, студентов и сообществ, которым мы служим», — заявил представитель компании.
«Мы посчитали, что это лучший вариант для предотвращения публикации данных, и посчитали своим долгом принять эти меры», — добавил представитель. «Как всегда в подобных ситуациях, существовал риск того, что злоумышленники не удалят украденные данные, несмотря на предоставленные нам заверения и доказательства».
PowerSchool предоставляет школам и школьным округам с детского сада по 12-й класс комплекс облачного программного обеспечения, включая систему информирования учащихся, обслуживая более 60 миллионов учащихся и 18 000 клиентов в более чем 90 странах. Компания заявляет, что среди её клиентов более 90 из 100 крупнейших школьных округов США.
Компания обнаружила подозрительную активность в системе информации об учащихся PowerSchool 28 декабря прошлого года. Компания CrowdStrike, которая ранее предоставляла PowerSchool программное обеспечение для обнаружения и реагирования на конечные точки, а также услуги по поиску угроз, начала расследование обстоятельств атаки на следующий день.
Неназванный злоумышленник получил доступ к системе PowerSchool, используя скомпрометированные учётные данные пользователя службы поддержки на портале PowerSource. Уровень доступа, предоставленный специалисту службы поддержки, включает «достаточные полномочия для доступа к экземплярам базы данных SIS клиента для целей обслуживания», говорится в отчёте CrowdStrike о расследовании , опубликованном в конце февраля.
Согласно отчёту CrowdStrike, в период с 19 по 23 декабря в результате атаки были украдены данные из таблиц «учителя» и «ученики» экземпляров PowerSchool SIS для некоторых клиентов PowerSchool. Компания, занимающаяся реагированием на инциденты, заявила, что не обнаружила никаких свидетельств доступа к системному уровню или вредоносного ПО, а также никаких признаков того, что ИТ-среды клиентов PowerSchool за пределами PowerSource и PowerSchool SIS были скомпрометированы или подвергались риску вторжения в результате атаки.
CrowdStrike обнаружила доказательства более ранней несанкционированной активности в среде PowerSchool, связанной со скомпрометированными учетными данными поддержки, в период с 16 августа по 17 сентября, однако не смогла связать эту активность со злоумышленником, ответственным за вредоносную активность в декабре 2024 года.
Последнее свидетельство активности злоумышленников имело место 28 декабря, когда злоумышленник «использовал скомпрометированные учетные данные службы поддержки, чтобы войти в интерфейс обслуживания PowerSource и взаимодействовать с PowerSchool SIS», говорится в отчете CrowdStrike.
Клиенты PowerSchool обратились в компанию, чтобы сообщить о недавних случаях вымогательства и угроз. Хотя компания не назвала имена пострадавших, школы в Северной Каролине сообщают, что получали сообщения от злоумышленников.
«Мы сообщили об этом случае правоохранительным органам США и Канады и тесно сотрудничаем с нашими клиентами, чтобы оказать им поддержку», — заявил представитель компании. «Мы искренне сожалеем о сложившейся ситуации — нам очень больно, что наши клиенты подвергаются угрозам и снова становятся жертвами злоумышленников»
