- 26,734
- 46
- 8 Ноя 2022
Теперь школам поставили дедлайн: заплатить до 12 мая. А иначе…
Canvas, одна из самых популярных учебных платформ в США, в четверг ушла в режим обслуживания и на несколько часов нарушила работу тысяч школ, колледжей и университетов. Сбой пришёлся на крайне неудачное время: у многих студентов шли финальные экзамены, сдача годовых работ и закрытие семестра. За технической паузой стоял не обычный отказ сервиса, а утечка данных и попытка вымогательства.
Платформу Canvas развивает компания Instructure. С 1 мая компания вела журнал обновлений по инциденту. Директор по информационной безопасности Instructure Стив Прауд сообщил, что компания столкнулась с кибератакой со стороны преступной группы. 2 мая он уточнил, что у пользователей затронутых учебных организаций могли утечь имена, адреса электронной почты, номера студенческих ID и сообщения, которыми люди обменивались внутри платформы.
Canvas используют школы и университеты по всей стране. Через платформу преподаватели выдают задания, принимают работы, ведят курсы, публикуют оценки и общаются со студентами. Поэтому отключение быстро превратилось в проблему не только для ИТ-отделов. Студенты не могли войти в учебные кабинеты, открыть материалы, загрузить файлы или проверить сроки сдачи. Гарвард, Колумбийский университет, Ратгерский университет и Джорджтаунский университет разослали предупреждения студентам. Судя по сообщениям, под удар попали и школьные округа как минимум в 12 штатах.
Злоумышленники использовали имя ShinyHunters и утверждали на своём сайте в даркнете, что атака затронула больше 8800 школ. Точный масштаб пока неясен. Список от вымогателей нельзя считать надёжным доказательством: подобные группы часто преувеличивают охват, смешивают свежие данные со старыми утечками или используют чужие названия для давления на жертву. Но реальная недоступность Canvas в четверг показала, что инцидент вышел далеко за пределы обычного уведомления об утечке.
Instructure сначала отметила ситуацию как решённую. В среду Прауд написал, что Canvas полностью работает, а признаков продолжающейся несанкционированной активности компания не видит. Уже в четверг днём на странице статуса появился новый сбой: часть пользователей не могла войти в Student ePortfolios. Через несколько часов Instructure перевела Canvas, Canvas Beta и Canvas Test в режим обслуживания. Поздно вечером компания сообщила, что Canvas снова доступен для большинства пользователей.
Параллельно атака получила более заметную форму. По данным TechCrunch, хакеры начали вторую волну и изменили страницы входа в Canvas у некоторых учебных заведений. Они внедряли HTML-файл, который показывал собственное сообщение на порталах школ. The Harvard Crimson сообщил, что страницу входа Harvard Canvas тоже изменили: там появился текст со списком организаций, которые вымогатели называли пострадавшими.
В сообщении злоумышленники призывали учебные заведения из списка обратиться к консультантам по кибербезопасности и связаться с группой напрямую, чтобы договориться до конца дня 12 мая. В противном случае хакеры угрожали публикацией данных. Какие сведения, связанные с Гарвардом, могли попасть в предполагаемую утечку, на тот момент оставалось неизвестно.
Название ShinyHunters давно связано с крупными сливами данных. За ним также тянется связь с хакерской средой, которую называют Com. Но за последние годы набор участников, союзников и подражателей менялся, а громкие имена начали использовать разные группы. Похожая история происходила с названием Lapsus$: свежие атаки иногда подписывали этим брендом, хотя связь с первоначальной группой могла отсутствовать или вообще не подтверждаться.
В случае Canvas тоже неясно, кто именно стоит за названием ShinyHunters. Эллисон Никсон, руководитель исследовательского направления в компании Unit 221b, давно отслеживает ShinyHunters и вымогательские группы. По её оценке, активность похожа на работу хакеров, которых иногда называют ScatteredLapsus$Hunters. Такая смесь названий отражает не аккуратную структуру банды, а пересекающуюся среду людей, которые используют похожие методы давления и знакомые бренды для запугивания.
Утром в четверг сайт в даркнете, связанный с ShinyHunters, перечислял Instructure и учебные заведения среди жертв. Там же хакеры жаловались, что компания не отвечает на требования и не ведёт переговоры. К вечеру упоминания Instructure и клиентов исчезли, а позже сайт перестал отвечать. Такой ход не обязательно означает выплату. Никсон объясняет, что вымогатели могут убирать жертву с сайта во время переговоров, после оплаты или просто как элемент психологического давления. Если переговоры идут плохо, карточку жертвы могут вернуть обратно.
Тактика современных вымогателей давно не ограничивается шифрованием файлов или угрозой публикации базы. Группы, связанные с Com, применяли более грубые методы давления: DDoS-атаки , массовые звонки и письма в компанию, угрозы руководителям и членам их семей. Никсон считает, что в таких эпизодах поведение всё меньше похоже на действия технически сильных хакеров и всё больше напоминает мафиозное вымогательство.
На сайте злоумышленников также значились другие организации, которые раньше фигурировали в сообщениях о целях ShinyHunters: Amtrak, Гарвард, Пенсильванский университет, Rockstar Games, Match, Hinge и Bumble. Никсон отдельно предупреждает: люди, связанные с атакой на Canvas, уже использовали старые или переработанные данные, чтобы раздувать заявления о новых взломах.
Даже с учётом возможных преувеличений атака на Canvas выделяется масштабом последствий. Высшее образование давно привлекает вымогателей: университеты хранят персональные данные, медицинские сведения, финансовую информацию, переписку, исследовательские материалы и часто работают через сложную смесь старых и новых систем. Но в этом случае один поставщик учебной платформы оказался точкой отказа для огромного числа школ. Когда сервис ушёл в режим обслуживания, последствия почувствовали не только администраторы, а студенты и преподаватели в самый напряжённый момент учебного года.
Для Instructure инцидент ещё не сводится к вопросу доступности Canvas. Если данные действительно утекли в заявленном масштабе, учебным заведениям придётся разбираться, какие пользователи затронуты, какие сообщения попали к злоумышленникам и какие уведомления нужно отправлять студентам, родителям и сотрудникам. Для школ проблема выглядит особенно чувствительно: речь идёт о данных несовершеннолетних и учебной переписке, которую пользователи вряд ли воспринимали как часть большой киберугрозы.
Атака также показывает, как изменилась модель вымогательства. Преступникам уже не всегда нужно полностью парализовать сеть жертвы. Достаточно получить доступ к данным, вынести список клиентов, публично назвать пострадавшие организации и создать хаос вокруг сервиса, без которого учебный процесс не работает. В случае Canvas давление усилил календарь: сбой пришёлся на финал учебного года, когда каждый час доступа к платформе имеет значение.
Никсон видит в этой истории более широкий провал международной борьбы с киберпреступностью. Небольшое число повторяющихся участников годами наращивает давление, меняет вывески, использует старые утечки и доходит до атак, которые задевают детей, студентов и школы по всей стране. После инцидента с Canvas учебным организациям придётся проверять не только собственные сети, но и зависимость от крупных внешних платформ, где одна утечка быстро превращается в проблему для тысяч учреждений.
Canvas, одна из самых популярных учебных платформ в США, в четверг ушла в режим обслуживания и на несколько часов нарушила работу тысяч школ, колледжей и университетов. Сбой пришёлся на крайне неудачное время: у многих студентов шли финальные экзамены, сдача годовых работ и закрытие семестра. За технической паузой стоял не обычный отказ сервиса, а утечка данных и попытка вымогательства.
Платформу Canvas развивает компания Instructure. С 1 мая компания вела журнал обновлений по инциденту. Директор по информационной безопасности Instructure Стив Прауд сообщил, что компания столкнулась с кибератакой со стороны преступной группы. 2 мая он уточнил, что у пользователей затронутых учебных организаций могли утечь имена, адреса электронной почты, номера студенческих ID и сообщения, которыми люди обменивались внутри платформы.
Canvas используют школы и университеты по всей стране. Через платформу преподаватели выдают задания, принимают работы, ведят курсы, публикуют оценки и общаются со студентами. Поэтому отключение быстро превратилось в проблему не только для ИТ-отделов. Студенты не могли войти в учебные кабинеты, открыть материалы, загрузить файлы или проверить сроки сдачи. Гарвард, Колумбийский университет, Ратгерский университет и Джорджтаунский университет разослали предупреждения студентам. Судя по сообщениям, под удар попали и школьные округа как минимум в 12 штатах.
Злоумышленники использовали имя ShinyHunters и утверждали на своём сайте в даркнете, что атака затронула больше 8800 школ. Точный масштаб пока неясен. Список от вымогателей нельзя считать надёжным доказательством: подобные группы часто преувеличивают охват, смешивают свежие данные со старыми утечками или используют чужие названия для давления на жертву. Но реальная недоступность Canvas в четверг показала, что инцидент вышел далеко за пределы обычного уведомления об утечке.
Instructure сначала отметила ситуацию как решённую. В среду Прауд написал, что Canvas полностью работает, а признаков продолжающейся несанкционированной активности компания не видит. Уже в четверг днём на странице статуса появился новый сбой: часть пользователей не могла войти в Student ePortfolios. Через несколько часов Instructure перевела Canvas, Canvas Beta и Canvas Test в режим обслуживания. Поздно вечером компания сообщила, что Canvas снова доступен для большинства пользователей.
Параллельно атака получила более заметную форму. По данным TechCrunch, хакеры начали вторую волну и изменили страницы входа в Canvas у некоторых учебных заведений. Они внедряли HTML-файл, который показывал собственное сообщение на порталах школ. The Harvard Crimson сообщил, что страницу входа Harvard Canvas тоже изменили: там появился текст со списком организаций, которые вымогатели называли пострадавшими.
В сообщении злоумышленники призывали учебные заведения из списка обратиться к консультантам по кибербезопасности и связаться с группой напрямую, чтобы договориться до конца дня 12 мая. В противном случае хакеры угрожали публикацией данных. Какие сведения, связанные с Гарвардом, могли попасть в предполагаемую утечку, на тот момент оставалось неизвестно.
Название ShinyHunters давно связано с крупными сливами данных. За ним также тянется связь с хакерской средой, которую называют Com. Но за последние годы набор участников, союзников и подражателей менялся, а громкие имена начали использовать разные группы. Похожая история происходила с названием Lapsus$: свежие атаки иногда подписывали этим брендом, хотя связь с первоначальной группой могла отсутствовать или вообще не подтверждаться.
В случае Canvas тоже неясно, кто именно стоит за названием ShinyHunters. Эллисон Никсон, руководитель исследовательского направления в компании Unit 221b, давно отслеживает ShinyHunters и вымогательские группы. По её оценке, активность похожа на работу хакеров, которых иногда называют ScatteredLapsus$Hunters. Такая смесь названий отражает не аккуратную структуру банды, а пересекающуюся среду людей, которые используют похожие методы давления и знакомые бренды для запугивания.
Утром в четверг сайт в даркнете, связанный с ShinyHunters, перечислял Instructure и учебные заведения среди жертв. Там же хакеры жаловались, что компания не отвечает на требования и не ведёт переговоры. К вечеру упоминания Instructure и клиентов исчезли, а позже сайт перестал отвечать. Такой ход не обязательно означает выплату. Никсон объясняет, что вымогатели могут убирать жертву с сайта во время переговоров, после оплаты или просто как элемент психологического давления. Если переговоры идут плохо, карточку жертвы могут вернуть обратно.
Тактика современных вымогателей давно не ограничивается шифрованием файлов или угрозой публикации базы. Группы, связанные с Com, применяли более грубые методы давления: DDoS-атаки , массовые звонки и письма в компанию, угрозы руководителям и членам их семей. Никсон считает, что в таких эпизодах поведение всё меньше похоже на действия технически сильных хакеров и всё больше напоминает мафиозное вымогательство.
На сайте злоумышленников также значились другие организации, которые раньше фигурировали в сообщениях о целях ShinyHunters: Amtrak, Гарвард, Пенсильванский университет, Rockstar Games, Match, Hinge и Bumble. Никсон отдельно предупреждает: люди, связанные с атакой на Canvas, уже использовали старые или переработанные данные, чтобы раздувать заявления о новых взломах.
Даже с учётом возможных преувеличений атака на Canvas выделяется масштабом последствий. Высшее образование давно привлекает вымогателей: университеты хранят персональные данные, медицинские сведения, финансовую информацию, переписку, исследовательские материалы и часто работают через сложную смесь старых и новых систем. Но в этом случае один поставщик учебной платформы оказался точкой отказа для огромного числа школ. Когда сервис ушёл в режим обслуживания, последствия почувствовали не только администраторы, а студенты и преподаватели в самый напряжённый момент учебного года.
Для Instructure инцидент ещё не сводится к вопросу доступности Canvas. Если данные действительно утекли в заявленном масштабе, учебным заведениям придётся разбираться, какие пользователи затронуты, какие сообщения попали к злоумышленникам и какие уведомления нужно отправлять студентам, родителям и сотрудникам. Для школ проблема выглядит особенно чувствительно: речь идёт о данных несовершеннолетних и учебной переписке, которую пользователи вряд ли воспринимали как часть большой киберугрозы.
Атака также показывает, как изменилась модель вымогательства. Преступникам уже не всегда нужно полностью парализовать сеть жертвы. Достаточно получить доступ к данным, вынести список клиентов, публично назвать пострадавшие организации и создать хаос вокруг сервиса, без которого учебный процесс не работает. В случае Canvas давление усилил календарь: сбой пришёлся на финал учебного года, когда каждый час доступа к платформе имеет значение.
Никсон видит в этой истории более широкий провал международной борьбы с киберпреступностью. Небольшое число повторяющихся участников годами наращивает давление, меняет вывески, использует старые утечки и доходит до атак, которые задевают детей, студентов и школы по всей стране. После инцидента с Canvas учебным организациям придётся проверять не только собственные сети, но и зависимость от крупных внешних платформ, где одна утечка быстро превращается в проблему для тысяч учреждений.
- Источник новости
- www.securitylab.ru
