La educación superior ha sido durante mucho tiempo un objetivo de bandas de ransomware y ataques de extorsión de datos. Sin embargo, tal vez nunca antes un ciberataque contra una sola plataforma de software había perturbado tanto las operaciones diarias de miles de escuelas en todo Estados Unidos.
La ampliamente utilizada plataforma de aprendizaje digital Canvas fue puesta en “modo de mantenimiento” el jueves después de que su creador, el gigante de la tecnología educativa Instructure, sufriera una violación de datos y enfrentara intentos de extorsión por parte de atacantes que usaban el apodo “ShinyHunters”. Aunque los piratas informáticos han estado anunciando la infracción e intentando obtener pagos de rescate de Instructor desde el 1 de mayo, la situación se volvió más urgente para el público en general en todo Estados Unidos y más allá el jueves, cuando el tiempo de inactividad de Canvas causó caos en las escuelas, incluso en medio de los exámenes finales y las tareas de fin de año.
Universidades como Harvard, Columbia, Rutgers y Georgetown enviaron advertencias a los estudiantes sobre la situación en los últimos días; Otras instituciones, incluidos distritos escolares de al menos una docena de estados, también parecen verse afectadas. En una lista publicada por los piratas informáticos detrás del ataque a su sitio web oscuro centrado en el rescate, afirmaron que la infracción afectó a más de 8.800 escuelas. Sin embargo, la escala y el alcance exactos de estas violaciones siguen sin estar claros. Y el hecho de que Canvas estuvo inactivo durante toda la tarde y noche del jueves complica aún más el panorama.
En un incidente en curso registro de actualización que comenzó el 1 de mayo, Steve Proud, director de seguridad de la información de Instructor, dijo que su empresa “experimentó recientemente un incidente de ciberseguridad perpetrado por un actor de amenazas criminales”. Añadió el 2 de mayo que la “información involucrada” para los “usuarios de las instituciones afectadas” incluye nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes intercambiados por los usuarios en la plataforma.
La situación finalmente se marcó como “Resuelta” el miércoles, y Proud escribió que “Canvas está en pleno funcionamiento y no vemos ninguna actividad no autorizada en curso”. Sin embargo, al mediodía del jueves, el Instructor página de estado enumeró un “problema” en el que “algunos usuarios tenían dificultades para iniciar sesión en Student ePortfolio”. En cuestión de horas, la empresa había agregado otra actualización de estado: “El instructor ha colocado Canvas, Canvas Beta y Canvas Test en modo de mantenimiento”. El jueves por la noche, la compañía dijo que Canvas estaba nuevamente disponible “para la mayoría de los usuarios”.
TecnologíaCrunch. etc. reportado El jueves, los piratas informáticos lanzaron una segunda ola de ataques, rompiendo los portales Canvas de varias escuelas al insertar archivos HTML para mostrar sus propios mensajes en las páginas de inicio de sesión de Canvas de las escuelas. De acuerdo a Harvard rojo oscuroEl atacante modificó la página de inicio de sesión de Harvard Canvas para mostrar un mensaje que incluía una lista de escuelas que, según el pirata informático, se vieron afectadas por la infracción.
El mensaje de los atacantes “instaba a las escuelas en la lista de afectados a consultar con una firma de asesoría cibernética y contactar al grupo en privado para negociar un acuerdo antes del final del día 12 de mayo, o correr el riesgo de que se filtren sus datos”, informó The Crimson. “No está claro qué información relacionada con las filiales de Harvard se incluyó en la supuesta infracción”.
Instructor no respondió de inmediato a una solicitud de comentarios sobre la interrupción del jueves y cómo encaja en el panorama más amplio de la infracción. Pero la situación es significativa dada la cantidad de información de los estudiantes que potencialmente quedó expuesta, y la visibilidad del incidente en todo el país lo convierte en un excelente ejemplo del problema de larga data pero creciente de la extorsión de datos y los ataques de ransomware.
El nombre ShinyHunters está asociado con volcados masivos de datos y se ha vinculado al notorio colectivo de piratería conocido como Com. Pero a medida que la constelación de actores cambió a lo largo de los años, muchos atacantes adoptaron los apodos más destacados relacionados con Comunicaciones. Varios ataques recientes han utilizado otros nombres, como Lapsus$, que tienen poca o ninguna conexión con los grupos originales que operaban bajo esos nombres.
