A PowerSchool está alertando que o hacker responsável pelo seu ataque cibernético em dezembro está agora extorquindo individualmente as escolas, ameaçando divulgar os dados de alunos e professores anteriormente roubados se um resgate não for pago.
"A PowerSchool tem conhecimento de que um ator de ameaça entrou em contato com vários distritos escolares clientes em uma tentativa de extorqui-los usando dados do incidente anteriormente relatado de dezembro de 2024", compartilhou a PowerSchool em uma declaração para a imprensa.
Não acreditamos que este seja um novo incidente, já que amostras de dados coincidem com os dados anteriormente roubados em dezembro.
Nós reportamos este caso às autoridades policiais tanto nos Estados Unidos quanto no Canadá e estamos trabalhando de perto com nossos clientes para apoiá-los.
Lamentamos sinceramente estes acontecimentos – nos aflige que nossos clientes estejam sendo ameaçados e revitimados por atores mal-intencionados.
A PowerSchool pediu desculpas pelas ameaças contínuas causadas pela violação e diz que continuará trabalhando com os clientes e as autoridades policiais para responder às tentativas de extorsão.
A empresa também recomenda que alunos e professores aproveitem os dois anos gratuitos de monitoramento de crédito e proteção de identidade para se protegerem contra fraudes e roubo de identidade.
Mais detalhes sobre isso podem ser encontrados no FAQ de incidente de segurança da empresa.
A PowerSchool também refletiu sobre sua escolha de pagar a exigência de resgate, afirmando que foi uma decisão difícil, mas esperando que isso protegesse seus clientes.
"Qualquer organização que enfrente um ataque de ransomware ou extorsão de dados tem uma decisão muito difícil e considerada a tomar durante um incidente cibernético desta natureza.
Nos dias seguintes à nossa descoberta do incidente de dezembro de 2024, tomamos a decisão de pagar um resgate porque acreditávamos ser do melhor interesse de nossos clientes e dos estudantes e comunidades que servimos", continuou a declaração da PowerSchool.
Foi uma decisão difícil, e uma que nossa equipe de liderança não tomou levianamente.
Mas pensamos que era a melhor opção para prevenir que os dados fossem tornados públicos, e sentimos que era nosso dever tomar essa ação.
Como sempre acontece nessas situações, havia um risco de que os atores mal-intencionados não deletassem os dados que roubaram, apesar das garantias e evidências que nos foram fornecidas.
Alguns dos distritos escolares sendo extorquidos individualmente pelo ator de ameaça incluem aqueles na Carolina do Norte e o Toronto District School Board (TDSB), que é o maior conselho escolar no Canadá.
"No início desta semana, o TDSB foi informado que os dados não foram destruídos.
O TDSB, juntamente com outros conselhos escolares norte-americanos, recebeu uma comunicação de um ator de ameaça exigindo um resgate usando dados do incidente anteriormente relatado de dezembro de 2024", lê-se em uma carta aos pais.
Em janeiro, a PowerSchool divulgou que sofreu uma violação do seu portal de suporte ao cliente PowerSource através de credenciais comprometidas.
Utilizando esse acesso, os atores de ameaça utilizaram uma ferramenta de manutenção remota PowerSource para se conectar e baixar os bancos de dados do distrito escolar PowerSchool.
Esses bancos de dados continham diferentes informações dependendo do distrito, incluindo nomes completos de alunos e professores, endereços físicos, números de telefone, senhas, informações dos pais, detalhes de contato, números de Seguro Social, dados médicos e notas.
A violação foi inicialmente detectada em 28 de dezembro de 2024, mas a empresa mais tarde revelou que foi violada meses antes, em agosto e setembro de 2024, usando as mesmas credenciais comprometidas.
Como primeiramente relatado pelo BleepingComputer, o hacker alegou ter roubado os dados de 62,4 milhões de alunos e 9,5 milhões de professores de 6.505 distritos escolares nos EUA, Canadá e outros países.
Em um FAQ acessível apenas a clientes e visto pelo BleepingComputer na época, a PowerSchool confirmou que pagou um resgate para evitar a liberação dos dados e recebeu um vídeo do ator de ameaça alegando que os dados haviam sido deletados.
No entanto, agora parece que o ator de ameaça não cumpriu sua promessa.
Especialistas em segurança e negociadores de ransomware há muito aconselham contra empresas pagando um resgate para evitar o vazamento de dados, já que os atores de ameaça estão cada vez mais falhando em manter sua promessa de deletar os dados roubados.
Ao contrário de uma chave de descriptografia, que as empresas podem confirmar que funciona, não há forma de verificar adequadamente que os dados foram deletados conforme prometido.
Isso foi recentemente visto no ataque de ransomware do Change Healthcare da UnitedHealth, no qual eles pagaram um resgate para o grupo de ransomware BlackCat receber um decodificador e não vazar dados.
No entanto, após o BlackCat realizar um golpe de saída, o afiliado por trás do ataque disse que ainda tinha os dados e extorquiu a UnitedHealth novamente.
Acredita-se que a UnitedHealth pagou um segundo resgate para novamente evitar o vazamento dos dados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...