O ensino superior é há muito tempo alvo de ransomware gangues e ataques de extorsão de dados. Mas talvez nunca antes um ataque cibernético contra uma única plataforma de software tenha perturbado tão completamente as operações diárias de milhares de escolas nos Estados Unidos.
A amplamente utilizada plataforma de aprendizagem digital Canvas foi colocada em “modo de manutenção” na quinta-feira depois que seu criador, a gigante de tecnologia educacional Instructure, sofreu uma violação de dados e enfrentou uma tentativa de extorsão por invasores usando o apelido reconhecível “Caçadores Brilhantes.” Embora os hackers tenham anunciado a violação e tentado extrair um pagamento de resgate da Instructure desde 1º de maio, a situação assumiu um imediatismo adicional para pessoas comuns nos EUA e em outros lugares na quinta-feira, porque o tempo de inatividade do Canvas causou caos nas escolas, incluindo aquelas no meio das provas finais e tarefas de final de ano.
Universidades como Harvard, Columbia, Rutgers e Georgetown enviaram alertas aos estudantes sobre a situação nos últimos dias; outras instituições, incluindo distritos escolares em pelo menos uma dúzia de estados, também parecem ter sido afectadas. Em uma lista publicada pelos hackers por trás do ataque ao seu dark web site focado em resgate, eles afirmam que a violação afetou mais de 8.800 escolas. No entanto, a escala exata e o alcance da violação ainda não estão claros. E o fato de o Canvas ter ficado fora do ar durante a tarde e noite de quinta-feira complicou ainda mais o quadro.
Em um incidente em execução registro de atualização que começou em 1º de maio, Steve Proud, diretor de segurança da informação da Instructure, disse que a empresa havia “experimentado recentemente um incidente de segurança cibernética perpetrado por um ator de ameaça criminosa”. Ele acrescentou em 2 de maio que “as informações envolvidas” para “usuários das instituições afetadas” incluíam nomes, endereços de e-mail, números de carteira de estudante e mensagens trocadas por usuários na plataforma.
A situação foi finalmente marcada como “Resolvida” na quarta-feira, com Proud escrevendo que “O Canvas está totalmente operacional e não estamos vendo nenhuma atividade não autorizada em andamento”. Ao meio-dia de quinta-feira, porém, a Inestrutura página de status registrou um “problema” em que “alguns usuários estão tendo dificuldades para fazer login nos Student ePortfolios”. Em poucas horas, a empresa adicionou outra atualização de status: “A Instructure colocou o Canvas, o Canvas Beta e o Canvas Test em modo de manutenção”. Na noite de quinta-feira, a empresa disse que o Canvas estava disponível novamente “para a maioria dos usuários”.
TechCrunch relatado na quinta-feira que os hackers lançaram uma onda secundária de ataques, desfigurando os portais Canvas de algumas escolas ao injetar um arquivo HTML para exibir sua própria mensagem nas páginas de login do Canvas das escolas. De acordo com O carmesim de Harvardos invasores modificaram a página de login do Harvard Canvas para mostrar uma mensagem que incluía uma lista de escolas que os hackers afirmam terem sido afetadas pela violação.
A mensagem dos invasores “exortou as escolas incluídas na lista afetada a consultar uma empresa de consultoria cibernética e entrar em contato com o grupo em particular para negociar um acordo antes do final do dia 12 de maio – ou então correm o risco de seus dados vazarem”, relatou o The Crimson. “Não está claro quais informações vinculadas às afiliadas de Harvard foram incluídas na suposta violação.”
A Instructure não respondeu imediatamente a um pedido de comentário sobre as interrupções de quinta-feira e como elas se enquadram no quadro geral da violação. Mas a situação é significativa, dado que um enorme acervo de informações de estudantes foi potencialmente exposto, e a visibilidade do incidente em todo o país torna-o um exemplo importante de um problema antigo, mas em constante escalada, de extorsão de dados e ataques de ransomware.
O nome ShinyHunters está associado a despejos massivos de dados e ao infame coletivo de hackers conhecido como o Com. Mas à medida que a constelação de intervenientes mudou ao longo dos anos, numerosos atacantes adotaram os nomes mais proeminentes relacionados com o Com. Vários ataques recentes invocaram outros nomes, como Lapsus $com pouca ou nenhuma ligação com o grupo original que operava com o nome.
