PowerSchool zahlte Lösegeld, jetzt zielen Hacker auf Lehrer ab, um mehr zu erpressen

PowerSchool zahlte nach einem schwerwiegenden Datendiebstahl Lösegeld; jetzt zielen Hacker mit direkten Erpressungsdrohungen auf Lehrer und Schulen ab, um höhere Lösegeldzahlungen zu fordern.

Am 28. Dezember 2024 erlebte der Bildungstechnologie-Gigant PowerSchool einen der größten Datendiebstähle in der US-Schulgeschichte. Dabei wurden die persönlichen Daten von über 60 Millionen Schülern und 9,5 Millionen Lehrern kompromittiert. Das Unternehmen reagierte mit der Zahlung eines Lösegelds in unbekannter Höhe.

Doch damit nicht genug. Monate später kontaktieren Hacker nun Schulen direkt, insbesondere Lehrer, und drohen mit der Veröffentlichung gestohlener Daten, wenn keine weiteren Zahlungen geleistet werden.

Der Angriff begann, als Angreifer PowerSource ausnutzten, ein Kundensupport-Portal, das mit dem Studenteninformationssystem (SIS) von PowerSchool verknüpft ist. Das Unternehmen glaubte zwar, die Zahlung des Lösegelds würde den Schaden eindämmen, doch das war nicht der Fall. Hacker schickten ein Video, das angeblich die Löschung der Daten zeigen sollte. Anhaltende Erpressungsversuche deuten jedoch auf etwas anderes hin.

Nun werden einzelne Schulen unter Druck gesetzt und mit der Herausgabe vertraulicher Daten gedroht, wenn sie nicht ihren Forderungen nachkommen. Laut einem Brief an Eltern, Erziehungsberechtigte und Betreuer bestätigte der Toronto District School Board (TDSB) den Eingang einer Lösegeldforderung der Angreifer.

Anfang dieser Woche wurde dem TDSB mitgeteilt, dass die Daten nicht vernichtet wurden. Das TDSB erhielt zusammen mit anderen nordamerikanischen Schulbehörden eine Nachricht von einem Bedrohungsakteur, der unter Verwendung von Daten aus dem zuvor gemeldeten Vorfall vom Dezember 2024 ein Lösegeld forderte.

Toronto District School Board (TDSB)

Die offengelegten Informationen variierten je nach Systemeinstellungen der Schule stark, umfassten jedoch Namen, Kontaktdaten, Geburtsdaten, Sozialversicherungsnummern und sogar einige medizinische Warndaten.

Als Reaktion darauf zeigt die Benachrichtigung von PowerSchool über den Datenschutzverstoß , dass das Unternehmen den Betroffenen zwei Jahre kostenlosen Identitätsschutz anbietet. Erwachsene haben Anspruch auf eine Kreditüberwachung, während die Dienste für Minderjährige die Verfolgung der Sozialversicherungsnummer und die Überwachung des Darknets umfassen.

Betroffene Personen müssen sich bis zum 31. Juli 2025 mit den von Experian bereitgestellten Codes anmelden. Weitere Informationen finden Sie auf der offiziellen Seite von PowerSchool zu Sicherheitsvorfällen.

PowerSchool hat die Gruppe hinter dem Datenleck nicht öffentlich benannt, doch ein interessanter Bericht von Dissent Doe von DataBreaches.net weist auf ShinyHunters als wahrscheinlichen Täter hin. Diese Behauptung basiert auf einer Nachricht von ShinyHunters an Dissent. Darin wird auf einen großen Hackerangriff im Bildungssektor hingewiesen, der „verheerende Folgen hätte, wenn das Opfer nicht zahlen würde“.

Hackread.com konnte nicht unabhängig überprüfen, ob es sich tatsächlich um ShinyHunters (Betreiber des derzeit offline verfügbaren BreachForums ) oder um jemanden handelt, der sich als die Gruppe ausgibt. Wir hatten zuvor über Telegram mit ShinyHunters kommuniziert, aber auch dort ist die Gruppe seitdem nicht mehr aktiv.

PowerSchool erklärte, die Lösegeldzahlung sei in der Hoffnung erfolgt, Schulen und Schüler zu schützen. Sicherheitsexperten warnen jedoch, dass ein Nachgeben gegenüber solchen Forderungen die Lage nur verschlimmern könnte.

Die Entscheidung, das Lösegeld zu zahlen, folgt der Empfehlung des FBI aus dem Jahr 2015, „einfach zu zahlen“, widerspricht jedoch der späteren Haltung der Behörde, dass sie „die Zahlung eines Lösegelds nicht unterstützt“.

Gareth Lindahl-Wise , Chief Information Security Officer bei Ontinue, sagt, diese Situation zeige einen beunruhigenden Trend. „Cyberkriminelle wissen, dass ein einmal gezahltes Lösegeld mit größerer Wahrscheinlichkeit erneut gezahlt wird. Da Ransomware sich von der Verschlüsselung von Dateien auf die öffentliche Verbreitung von Informationen verlagert, wird Erpressung zum Hauptziel.“

PowerSchool hat erklärt, mit den Strafverfolgungsbehörden zusammenzuarbeiten und betroffene Institutionen weiterhin zu unterstützen. Es gibt jedoch weiterhin keine Anzeichen dafür, dass die gestohlenen Daten vollständig gesichert sind oder dass es nicht zu weiteren Angriffen kommen wird.

Laut WBTV News hat North Carolina nach dem massiven Datenleck beschlossen, den Vertrag mit PowerSchool nicht zu verlängern. Offizielle Stellen gaben an, die Entscheidung spiegele die wachsende Besorgnis über den Umgang mit dem Datenleck und die anhaltenden Risiken wider, die mit den Systemen von PowerSchool verbunden seien.

Personen, deren Daten betroffen sind, werden gebeten, sich für die angebotenen Schutzdienste anzumelden und auf ungewöhnliche Aktivitäten zu achten. PowerSchool hat vollständige Anweisungen zur Anmeldung veröffentlicht, mit getrennten Verfahren für Erwachsene und Minderjährige.

Das Unternehmen rät außerdem davon ab, auf unaufgeforderte E-Mails oder Telefonanrufe zu antworten, in denen nach persönlichen Informationen gefragt wird, und betont, dass es auf diesem Weg keine Kontaktaufnahme vornehmen wird.

Dieser Datendiebstahl ist einer der größten, die jemals im Bildungssektor registriert wurden, und die langfristigen Folgen sind noch unklar. Eines ist sicher: Lösegeld zu zahlen ist keine Lösung.