Получил выкуп, но продолжил шантаж: коротко о том, почему не стоит доверять хакерам

Хакер, стоящий за громкой атакой на PowerSchool в декабре 2024 года, начал напрямую шантажировать отдельные школьные округа США и Канады, требуя выкуп за нераскрытие ранее украденных данных. Теперь угрозы касаются уже не только компании, но и десятков школ, ставших заложниками утечки, несмотря на попытки остановить злоумышленника ещё в прошлом году.

Компания PowerSchool заявила, что знает о попытках вымогательства в адрес своих клиентов и подтверждает, что речь идёт не о новой атаке, а о повторном использовании тех же данных, похищенных в результате инцидента , который был зафиксирован 28 декабря. Однако позже выяснилось, что злоумышленники проникли в систему ещё в августе и сентябре, используя скомпрометированные учётные данные для доступа к клиентскому порталу PowerSource. Через него они подключились к удалённому инструменту администрирования и скачали базы данных образовательных учреждений.

Содержимое баз различалось в зависимости от школы, но зачастую включало полные имена учеников и сотрудников, адреса, номера телефонов, пароли, контактную информацию родителей, номера соцстрахования, медицинские сведения и даже оценки. По заявлениям хакера , в его распоряжении оказались данные 62,4 миллиона учащихся и 9,5 миллиона преподавателей из более чем 6 тысяч учебных заведений в США, Канаде и других странах.

После инцидента PowerSchool приняла решение выплатить выкуп, чтобы предотвратить утечку данных, и получила от злоумышленника видео с демонстрацией удаления украденной информации. Но, как это часто бывает, на деле преступник не сдержал обещания. Теперь данные используются для точечного шантажа отдельных школ — такой сценарий уже подтвердил Toronto District School Board, крупнейший школьный округ Канады. Представители округа уведомили родителей о получении письма от вымогателя с требованием выплаты за нераспространение информации.

В самой PowerSchool признают, что решение о выплате было тяжёлым, но, по мнению руководства, в тот момент оно было единственно возможным способом защитить клиентов и учащихся. Тем не менее, как подчёркивают специалисты по безопасности, ни одно доказательство удаления данных нельзя считать надёжным — в отличие от дешифровщика, подлинность которого можно проверить на практике.

Компания продолжает сотрудничать с властями США и Канады и призывает всех пострадавших воспользоваться бесплатной двухлетней программой по мониторингу кредитной истории и защите от кражи личности. Однако новый виток шантажа вновь подчёркивает: даже после официального завершения атаки компании и пользователи остаются под прицелом злоумышленников, а уплата выкупа зачастую не спасает от повторных угроз.

Подобный сценарий уже происходил недавно: в атаке на Change Healthcare, дочернюю компанию UnitedHealth, злоумышленники также получили выкуп за удаление данных , а затем обманули жертву и повторно потребовали деньги, угрожая новой утечкой. В обоих случаях результат один — скомпрометированные данные превращаются в инструмент долговременного давления, а жертвы теряют не только средства, но и контроль над ситуацией.