攻击团伙实施多重勒索，美国教育科技服务商PowerSchool支付数百万赎金后，其合作的二十余家教育机构再遭勒索

初次勒索得逞：支付数百万赎金要求删除数据

PowerSchool 是一家总部位于美国的K-12软件提供商，为全球6000多万名学生和超1.8万家教育机构提供招生、出勤、员工管理、学习、财务等方面的软件工具。

2024 年12月，该公司发现其学生的信息系统遭到未经授权访问。调查后发现，通过窃取账户凭证进入该公司的数据库，并窃取了该公司的客户的数据，涉及美国、加拿大和其他国家6505个学区的 6240 万名学生和950万名教师的社会安全号码、医疗信息和成绩等信息。

为防止数据被公开，PowerSchool在发现攻击后的几天内支付了数百万美元的赎金。公司表示，此举是为了保护客户、学生的利益。在收到赎金后，勒索组织向该公司提供了一段数据删除视频以示诚信。

然而，支付赎金并未阻止勒索组织的进一步攻击。近日，PowerSchool确认，已联系其合作的多家学校，试图利用之前窃取的数据进行新一轮勒索。据当前信息，美国北卡罗来纳州、俄勒冈州等地区超20个教育机构以及加拿大的教育管理机构均收到勒索信。威胁如果不支付赎金，将公开学生和教职工的敏感信息。

PowerSchool 表示已向执法部门报告了新的勒索软件事件，目前正与客户合作，减轻事件带来的影响。但北卡罗来纳州教育部已决定不再与PowerSchool续签合同。

值得注意的是，数据安全专员长期以来一直建议企业不要通过支付赎金来防止数据泄露，因为勒索组织越来越不履行支付赎金就删除被盗数据的承诺。而企业也难以验证数据是否被删除。

在 PowerSchool 这起事件中，支付赎金未能终结危机，反而让其有了新的“狩猎” 目标。更令人担忧的是，这些海量敏感数据如今流向不明，其蕴含的巨大潜在风险可能会不断发酵。