Powerschool advierte que el pirata detrás de sus ataques cibernéticos de diciembre ahora extorsiona individualmente a las escuelas, amenazando con liberar los datos de estudiantes y maestros previamente robados si no se paga a un rescate.
“PowerSchool es consciente de que un jugador de amenaza se ha puesto en contacto con varios clientes del distrito escolar para tratar de extorsionarlos utilizando datos del incidente reportado anteriormente en diciembre de 2024”, dijo Powerschool en un comunicado a la computadora Bleeping.
“No creemos que sea un nuevo incidente, porque las muestras de datos corresponden a los datos previamente robados en diciembre. Hemos informado este caso a la policía en los Estados Unidos y Canadá y trabajan en estrecha colaboración con nuestros clientes para apoyarlos. Lamentamos sinceramente estos desarrollos, que duelen que nuestros clientes están amenazados y restablecidos por malos jugadores”.
PowerSchool se disculpó por las amenazas actuales causadas por la violación y dice que continuarán trabajando con los clientes y la policía para responder a los intentos de extorsión.
La compañía también recomienda que los estudiantes y los maestros aprovechen los dos años de monitoreo de crédito y protección de la identidad para protegerse contra el fraude y el robo de identidad. Se pueden encontrar más detalles sobre este tema en la sociedad. Preguntas frecuentes de incidentes de seguridad.
PowerSchool también ha pensado en su elección de pagar Ransom, declarando que era una decisión difícil, pero con la esperanza de que protegiera a sus clientes.
“Cualquier organización que enfrenta un ataque de ransomware o extorsión de datos tiene una decisión muy difícil y se considera que se tomó durante un incidente cibernético de esta naturaleza. En los días posteriores a nuestro descubrimiento del incidente de diciembre de 2024, tomamos la decisión de pagar un rescate porque pensamos que era el mejor interés de nuestros clientes y estudiantes y las comunidades que servimos”, continuó la decepción de Powerscol.
“Fue una decisión difícil, y que nuestro equipo de gestión no tomó a la ligera. Pero pensamos que era la mejor opción para evitar que los datos se hicieran públicos, y estimamos que era nuestro deber tomar esta acción. Como siempre es el caso con estas situaciones, había un riesgo de que los malos actores no eliminen los datos que robaron, a pesar del seguro y la evidencia que se otorgó”.
Violación de datos de PowerSchool
En enero, PowerSchool reveló que había sufrido una violación de su portal de atención al cliente de PowerSource mediante referencias comprometidas. Usando este acceso, los jugadores de amenazas utilizaron una herramienta de mantenimiento remoto de PowerSource para conectarse y descargar las bases de datos PowerSchool del distrito escolar.
Estas bases de datos contenían información diferente según el distrito, incluidos los nombres completos de estudiantes y maestros, direcciones físicas, números de teléfono, contraseñas, padres, datos de contacto, números de seguro social, datos médicos y notas.
La violación se detectó inicialmente el 28 de diciembre de 2024, pero la compañía luego reveló que había sido violada durante meses antes, en agosto y septiembre de 2024, utilizando las mismas referencias comprometidas.
Como se informó por primera vez por BleepingCompute, el pirata dijo que robó datos de 62.4 millones de estudiantes y 9.5 millones de maestros para 6.505 distritos escolares en los Estados Unidos, Canadá y otros países.
En respuesta a la violación, PowerSchool pagó un rescate para evitar la publicación de datos robados y recibió un video del actor de amenaza que decía que los datos habían sido eliminados. Sin embargo, ahora parece que el actor de amenaza no fue prometida.
Los expertos en seguridad y los negociadores de ransomware han aconsejado durante mucho tiempo a las empresas que paguen un rescate para evitar la fuga de datos, ya que las partes interesadas de amenazas no cumplen su promesa de eliminar los datos robados.
A diferencia de una clave de descifrado que las empresas pueden confirmar el trabajo, no hay forma de verificar adecuadamente que los datos se eliminen según lo prometido.
Esto se observó recientemente durante el ataque al ransomware por el cambio de salud de United, en el que pagaron una pandilla de ransomware Blackcat para recibir un descifrador y no datos de divulgación.
Sin embargo, después de que Blackcat sacó una estafa de salida, el afiliado detrás del ataque dijo que tuvieron los datos nuevamente y que una vez más había extorsionado UnitedHealth.
Se cree que UnitedHealth pagó un segundo rescate para evitar que los datos se filtren una vez más.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.