Dolandırıcılık Yönetimi ve Siber Saldırı, Olay ve İhlal Yanıtı, Fidye Yazılımı
Satıcı veri belgesi sözü için ödeme yaptıktan sonra, suçlular doğrudan okulları zorla okur
Mathew J. Schwartz (Euroinfosec) •
8 Mayıs 2025
Öğrenciler, Powerschool’un bilgisayar korsanları tarafından nasıl okula gittiğine dair üzücü bir hikaye için toplar, onlara bir vaat için ödeme yaptılar, sonra sözün kırıldığını gördüler.
Ayrıca bakınız: Ondemand | Modern işletmeler kapsamlı kimlik güvenliği programları gerektirir: Kimlik güvenliğinde liderden en iyi uygulamalar
Geçen Aralık ayında ihlal edildikten sonra, yaygın olarak kullanılan bir K-12 öğrenci bilgi sistemi platformu yapan Powerschool, saldırganlarına fidye ödemenin “zor karar” verdiğini söyledi. Buna karşılık, suçlular çaldıkları verileri silmeye söz verdiler, Powerschool bu hafta etkilenen okullara, öğrencilere ve ebeveynlerine ve velilere söyledi.
Beş ay sonra, etkilenen bir okul bölgesindeki bir BT yöneticisi beni yeni bir bükülme konusunda uyardı: “Sürpriz! Saldırganlar, Powerschool’un silmeleri için fidye ödediği verileri silmedi.”
Yöneticinin benimle paylaştığı satıcı tarafından Çarşamba günü yayınlanan bir “Powerschool Siber Güvenlik Olayı – Güncelleme”, “Daha önce bildirilen Aralık 2024 olayından elde edilen verilerden” bağlı olan “değerli müşterileri” uyarıyor.
“Bunun yeni bir olay olduğuna inanmıyoruz,” dedi Powerschool, gaspçıların sahip olduğu çalınan verilerden.
Şirket, notunda, ilk kez saldırganlara ödeme yapmayı seçtiğini ve öğrenciler ve fakülte hakkındaki bilgilerin halka açık olmasını engelleyeceğini umarak kamuya açıkladı. Şirket, “Aralık 2024 olayını keşfettiğimiz günlerde, bir fidye ödemeye karar verdik çünkü müşterilerimizin ve hizmet ettiğimiz öğrencilerin ve toplulukların yararına olduğuna inandık.” Dedi. Diyerek şöyle devam etti: “Liderlik ekibimizin hafifçe vermediği zor bir karardı. Bu durumlarda her zaman olduğu gibi, kötü aktörlerin bize sağlanan güvencelere ve kanıtlara rağmen çaldıkları verileri silmeme riski vardı.”
Sonunda, çaldıkları verileri silmek için pembemliye aday olan suçlular, sadece kurban bir fidye ödediyse, verileri gerçekten silmedi. Ya onlar ya da güvenilir bir aracı – ya da belki de bir gaspta ellerini denemek için verilerin bir kopyasını satın alan başka bir rastgele dolandırıcılık – şimdi kişisel bilgileri sahip oldukları bireyleri doğrudan zorlamaya çalışıyorlar.
Powerschool’un uyarısı, DataBreaches.net’in ilk bildirdiği gibi, Kuzey Carolina eyaletinin okul bölgelerini ve charter okullarını aktif Powerschool kullanıcı gasp girişimleri konusunda uyarmasıyla aynı gün geldi.
Kuzey Carolina okulları için maruz kalan veriler öğrencilerin ve personelin isimlerini, iletişim bilgilerini, personel için dolu, öğrenciler için kısmi – doğum tarihleri, bazı şifreler, ebeveyn veya vasi bilgileri ve tıbbi notları içeriyordu.
Suçluların sözlerini onurlandırmayacağını kim tahmin edebilirdi (bkz: Powerschool’un İhlal Yanılgısı: Suçlulara Sözler İçin Ödeme Yapmak)?
Powerschool burada kurban, ama nasıl tepki verdiği önemli. Bir zorba okul raporunuzu çalıyorsa, durdurmak için kabadayı ödüyor musunuz?
Uzmanlar uzun zamandır kurbanlara asla ödeme yapmamalarını tavsiye ettiler, çünkü suçlulara güvenemeyeceğiniz için, kanıtlamaya devam ediyorlar. Öte yandan, bir uzman bana, sıfır olmayan sayıda davada, suçluların ödeme alınması sonucunda veri sızdırmadığını söyledi. Hükümetler bu tür ödemeleri yasaklayana kadar – veya eğer – bu seçenek işletmeler için masada kalır.
Dezavantajlar çok büyük: doğrudan siber suç ekosistemini ödemek. Gruplar bu fonları sadece lüks otomobillere değil, aynı zamanda araştırma ve geliştirme de sürüyor. Eylül 2023 ihlalinden sonra Casino ve Hotel Dev Caesars Entertainment veya Şubat 2024’te UnitedHealth Group gibi büyük fidye ödendiğini görmek sağlık hizmeti ihlali – Susun kopyalarını değiştiriyor.
Bu nedenle, ödemek, gelecekteki daha fazla kurban ve bazı kuruluşların suçlular sözlerini tutmadıklarında canlandırılmasına yol açar.
Verilerin henüz sızmadığı için daha sonra atılmayacağı anlamına gelmez. Kayıtlı gelecekte bir tehdit istihbarat analisti olan Allan Liska, daha önce bana herhangi bir veri-silinme vaadini koruyan bir fidye yazılımı grubunu içeren bir kanıt olmadığını belirterek, “Verilerinizi silmeyecekler” dedi.
“Demek istediğim, sadece düz, verilerinizi sızdırıyormuş gibi yapacaklar, bir kopyasını yapacaklar ve daha sonra önünüzde silecekler ve kopyayı silmek, hatta orijinali silmek ve kopyayı tutmak için büyük bir gösteri yapacaklar.” Dedi. “O zaman tekrar tekrar gördük.”
Yine de, kurbanlar ödeme yapmaya ve ödeme yapmaya devam ediyor. Bazı durumlarda, bu alaycı bir pazarlama manzarası gibi görünmektedir, böylece sorunu önlemedikten sonra proaktif bir şey yaptığını iddia edebilirler. Ne olursa olsun, hiç kimse bir masal sonunu verdiği herhangi bir yanılsama altında olmamalıdır.
Güncellendi 8 Mayıs 21:39 UTC: Bu blog yazısı, sıfır olmayan bir siber suç grubunun ödendikten sonra çalınan bilgileri boşaltma olasılığını yansıtacak şekilde güncellendi.