Atac cibernetic asupra platformei Canvas: Un nou tip de dezastru ransomware
Mii de școli din Statele Unite au fost paralizate joi, după ce firma de tehnologie educațională Instructure a închis accesul la platforma sa Canvas, în urma unei breșe de securitate de către hackerii care se autointitulează ShinyHunters.
Învățământul superior a fost mult timp o țintă a grupurilor de ransomware și a atacurilor de extorcare de date. Dar poate că niciodată până acum, un atac cibernetic asupra unei singure platforme software nu a perturbat atât de profund operațiunile zilnice a mii de școli din Statele Unite. Platforma de învățare digitală Canvas, utilizată pe scară largă, a fost pusă în "mod de întreținere" joi, după ce producătorul său, gigantul tehnologiei educaționale Instructure, a suferit o încălcare a datelor și s-a confruntat cu o tentativă de extorcare de către atacatorii care folosesc numele recognoscibil "ShinyHunters". Deși hackerii au făcut publică încălcarea și au încercat să obțină o plată de răscumpărare de la Instructure încă din 1 mai, situația a căpătat o urgență suplimentară pentru oamenii obișnuiți din SUA și dincolo de granițe joi, deoarece timpul de nefuncționare a Canvas a provocat haos în școli, inclusiv în cele aflate în mijlocul examenelor finale și a sarcinilor de sfârșit de an. Universități precum Harvard, Columbia, Rutgers și Georgetown au trimis alerte studenților cu privire la situație în ultimele zile; alte instituții, inclusiv districte școlare din cel puțin o duzină de state, par, de asemenea, să fi fost afectate. Într-o listă publicată de hackerii din spatele atacului pe site-ul lor dark web axat pe răscumpărare, aceștia susțin că încălcarea a afectat peste 8.800 de școli. Scara și amploarea exactă a încălcării nu sunt clare în prezent. Iar faptul că Canvas a fost oprit pe tot parcursul după-amiezii și al serii de joi a complicat și mai mult situația.
Într-un jurnal de actualizări continue privind incidentul, care a început la 1 mai, Steve Proud, directorul de securitate a informațiilor al Instructure, a declarat că societatea a "experimentat recent un incident de securitate cibernetică săvârșit de un actor criminal periculos". El a adăugat la 2 mai că "informațiile implicate" pentru "utilizatorii din instituțiile afectate" includeau nume, adrese de e-mail, numere de identificare a studenților și mesaje schimbate de utilizatori pe platformă. Situația a fost în cele din urmă marcată ca fiind "Rezolvată" miercuri, Proud scriind că "Canvas este complet operațional și nu vedem nicio activitate neautorizată în curs". La amiază, joi, totuși, pagina de stare Instructure a înregistrat o "problemă" în care "unii utilizatori au dificultăți la conectarea la ePortofoliile studenților". În câteva ore, societatea a adăugat o altă actualizare de stare: "Instructure a plasat Canvas, Canvas Beta și Canvas Test în modul de întreținere". Joi seara târziu, societatea a declarat că Canvas era din nou disponibil "pentru majoritatea utilizatorilor".
TechCrunch a raportat joi că hackerii au lansat un al doilea val de atacuri, defăimând unele portaluri Canvas ale școlilor prin injectarea unui fișier HTML pentru a afișa propriul mesaj pe paginile de conectare Canvas ale școlilor. Potrivit The Harvard Crimson, atacatorii au modificat pagina de conectare Harvard Canvas pentru a afișa un mesaj care includea o listă de școli despre care hackerii susțin că au fost afectate de încălcare. Mesajul de la atacatori "a îndemnat școlile incluse în lista afectată să se consulte cu o firmă de consultanță cibernetică și să contacteze grupul în mod privat pentru a negocia o înțelegere înainte de sfârșitul zilei de 12 mai sau riscă ca datele lor să fie divulgate", a raportat The Crimson. "Nu este clar ce informații legate de afiliații Harvard au fost incluse în presupusa încălcare."
Instructure nu a răspuns imediat la o cerere de comentarii cu privire la întreruperile de joi și modul în care acestea se încadrează în imaginea de ansamblu a încălcării. Dar situația este semnificativă, având în vedere că o cantitate masivă de informații despre studenți a fost potențial expusă, iar vizibilitatea incidentului în întreaga țară îl face un exemplu cheie al unei probleme de lungă durată, dar în continuă escaladare, a extorcărilor de date și a atacurilor ransomware. Numele ShinyHunters este asociat cu descărcări masive de date și a fost legat de infamul colectiv de hackeri cunoscut sub numele de Com. Dar, pe măsură ce constelația de actori s-a schimbat de-a lungul anilor, numeroși atacatori au preluat cele mai proeminente nume legate de Com. O serie de atacuri recente au invocat alte nume, cum ar fi Lapsus$, cu o legătură mică sau deloc cu grupul original care a funcționat sub acest nume. În cazul Canvas, este, de asemenea, neclar cine acționează în spatele numelui ShinyHunters.
Allison Nixon, directorul de cercetare al firmei de securitate cibernetică Unit 221b, care a urmărit îndeaproape ShinyHunters și alte grupuri ransomware, spune că activitatea pare să fie legată de activitatea recentă a unui grup de hackeri numiți uneori ScatteredLapsus$Hunters. Mai devreme, joi, un site dark web folosit de hackerii care operează sub numele de ShinyHunters pentru a-și amenința și extorca țintele a enumerat atât Instructure, cât și școlile care utilizează software-ul său ca victime, împreună cu o notă de la hackeri care se plângeau că Instructure nu a răspuns cererilor sale de a negocia o plată. "Instructure nici măcar nu s-a obosit să vorbească cu noi pentru a înțelege situația sau măcar să negocieze cu noi pentru a preveni divulgarea acestor date", se arată în declarație. "Societatea aparent nu le pasă de toți studenții afectați și de instituțiile afectate de această încălcare a datelor." Până joi seara, totuși, aceste referințe la Instructure și la clienții săi dispăruseră de pe site, care ulterior a devenit non-responsiv.
În timp ce grupurile ransomware elimină uneori victimele de pe site-urile lor dark web ca răspuns la faptul că au fost de acord să plătească o răscumpărare, victimele pot fi, de asemenea, eliminate de hackeri ca tactică de negociere, spune Nixon. "Aceasta este adesea una dintre tacticile lor de manipulare pentru a încerca să încurajeze victima să plătească. Așa că, în timp ce negociază sau după ce au plătit, ar putea scoate acea victimă de pe site sau, în funcție de modul în care merg negocierile, ar putea pune victima înapoi", spune Nixon. Ea adaugă că, în mijlocul acestor negocieri, grupurile de hackeri asociate Com au fost cunoscute că escaladează la tactici coercitive mai extreme pentru a maximiza stimulul victimei de a plăti, inclusiv atacuri distribuite de refuz al serviciului, inundarea societății cu apeluri telefonice și e-mailuri și chiar amenințarea familiilor directorilor. "Acest tip de tactici de presiune încep să arate mult mai mult a mafie violentă decât a orice fel de chestii de hackeri pricepuți", spune Nixon.
Hackerii, de fapt, enumeră numeroase alte victime pe site-ul lor dark web care au fost raportate anterior ca ținte ShinyHunters, inclusiv Amtrak, Harvard, University of Pennsylvania, Rockstar Games, Match, Hinge și Bumble, deși WIRED nu a putut confirma dacă aceste organizații au fost efectiv încălcate de acest subgrup specific al Com. Nixon avertizează că hackerii din spatele atacului Canvas au folosit de fapt date vechi sau reciclate pentru a exagera afirmațiile de încălcări în trecut. Acest ultim atac și perturbarea pe care a provocat-o școlilor din întreaga țară sunt, totuși, prea reali și reprezintă o escaladare semnificativă de la acest grup ransomware particular. "Este demn de remarcat faptul că un număr mic de recidiviști pot escalada ani de zile pentru a ajunge în acest punct", spune Nixon. "Vorbește despre problema sistemică internațională a criminalității cibernetice și despre necesitatea ca guvernele din întreaga lume să lase deoparte geopolitica și să coopereze pentru a-i opri pe cei care extorcă bani și se hrănesc cu copii."