PowerSchool 客户受到下游勒索威胁

快速阅读: 据《Cyber Scoop 独家新闻》最新报道，教育软件公司PowerSchool在支付赎金后，其客户遭新一轮勒索。攻击者可能与之前相同，盗取数据涉及“教师”和“学生”信息。公司正与执法部门合作协助受影响客户，强调支付赎金不代表数据一定安全。

教育软件供应商派斯库尔（PowerSchool）在向一名匿名威胁行为者支付赎金以删除敏感被盗数据五个月之后，其部分客户如今也收到了勒索要求。据《网络扫捕》（CyberScoop）了解，在过去的几天里，一名可能是上次攻击背后的同一犯罪团伙，也可能不是的威胁行为者，已联系了派斯库尔的四个学区客户，威胁若不付款将泄露数据。

这些下游勒索攻击凸显了当供应商遭遇网络攻击时，组织所面临的持续风险，不仅暴露了自身的数据，还可能危及其他供应链中的数据安全。后续的勒索尝试也表明，支付赎金并不能保证被盗数据不会被泄露。

“派斯库尔了解到，一名威胁行为者已经联系了多家学区客户，试图利用去年12月报告的事件中的数据进行勒索，”该公司发言人在周三的一份声明中表示。“我们认为这不是一起新事件，因为数据样本与去年12月被盗的数据一致。”

公司没有透露支付了多少赎金。

“我们决定支付赎金，因为我们认为这对我们的客户、学生和我们服务的社区最有利，”发言人说。“我们认为这是防止数据泄露的最佳选择，并且我们认为采取这一行动是我们的责任，”发言人补充道。“正如这些情况中经常发生的那样，存在威胁行为者不会删除他们窃取的数据的风险，尽管我们得到了保证和证据。”

派斯库尔为K-12学校和学区提供了一系列基于云的软件——包括学生信息系统，支持超过6000万名学生和18,000个客户，分布在90多个国家。该公司称其客户包括美国最大的100个学区中的90多个。

公司于去年12月28日发现了派斯库尔学生信息系统的可疑活动。CrowdStrike已经在为派斯库尔提供终端检测与响应软件和威胁狩猎服务，第二天便开始了对此次攻击的调查。这名未具名的攻击者通过公司PowerSource支持门户中的一个受感染的支持用户凭据获得了对派斯库尔系统的访问权限。

CrowdStrike在其2月底发布的调查报告中指出，授予技术支持人员的访问级别包括“足以访问客户SIS数据库实例以进行维护的权限”。

根据CrowdStrike的报告，威胁行为者从某些派斯库尔客户的PowerSchool SIS实例中的“教师”和“学生”表中窃取了数据，时间为12月19日至12月23日。

事件响应公司表示，没有发现系统层访问或恶意软件的证据，也没有迹象表明除PowerSource和PowerSchool SIS之外的派斯库尔客户IT环境因该攻击而受到损害或面临入侵风险。

CrowdStrike在PowerSource环境中发现了自8月16日至9月17日期间与受感染支持凭据相关的未经授权的早期活动证据，但无法将此活动归因于负责2024年12月恶意活动的威胁行为者。

威胁行为者的最后活动证据出现在12月28日，当时攻击者“使用受感染的支持凭据登录到PowerSource的维护界面，与PowerSchool SIS进行交互”，CrowdStrike在报告中提到。

派斯库尔的客户已联系公司告知最近的勒索要求和威胁。

“我们已将此事报告给美国和加拿大的执法部门，并正在与我们的客户密切合作以支持他们，”公司发言人说。“我们对这些发展深感遗憾——看到我们的客户被不良行为者威胁和再次被伤害令人心痛。”

(以上内容均由Ai生成)