Hoger onderwijs is lange tijd een doelwit geweest ransomware bendes en data-afpersingsaanvallen. Maar wellicht nog nooit eerder heeft een cyberaanval tegen een enkel softwareplatform de dagelijkse activiteiten van duizenden scholen in de Verenigde Staten zo grondig verstoord.
Het veelgebruikte digitale leerplatform Canvas werd donderdag in de ‘onderhoudsmodus’ gezet nadat de maker ervan, de onderwijstechnologiegigant Instructure, een datalek had opgelopen en te maken kreeg met een afpersingspoging van aanvallers die de herkenbare naam gebruikten “Glanzende Jagers.” Hoewel de hackers sinds 1 mei reclame maken voor de inbreuk en proberen losgeld van Instructure los te krijgen, werd de situatie donderdag extra urgent voor gewone mensen in de VS en daarbuiten, omdat de downtime van Canvas chaos veroorzaakte op scholen, ook op scholen die midden in de eindexamens en eindejaarsopdrachten zaten.
Universiteiten als Harvard, Columbia, Rutgers en Georgetown stuurden de afgelopen dagen waarschuwingen naar studenten over de situatie; andere instellingen, waaronder schooldistricten in minstens een dozijn staten, lijken ook getroffen te zijn. In een lijst die is gepubliceerd door de hackers achter de aanval op hun op losgeld gerichte dark website, beweren zij dat de inbreuk meer dan 8.800 scholen heeft getroffen. De exacte omvang en reikwijdte van de inbreuk is momenteel echter onduidelijk. En het feit dat Canvas de hele donderdagmiddag en -avond offline was, maakte het plaatje nog ingewikkelder.
Bij een hardloopincident logboek bijwerken dat op 1 mei begon, zei Steve Proud, Chief Information Security Officer van Instructure, dat het bedrijf “onlangs een cyberveiligheidsincident had meegemaakt, gepleegd door een criminele dreigingsacteur.” Hij voegde er op 2 mei aan toe dat “de betrokken informatie” voor “gebruikers bij getroffen instellingen” namen, e-mailadressen, student-ID-nummers en berichten omvatte die door gebruikers op het platform werden uitgewisseld.
De situatie werd woensdag uiteindelijk gemarkeerd als ‘Opgelost’, waarbij Proud schreef dat ‘Canvas volledig operationeel is en dat we geen voortdurende ongeoorloofde activiteiten zien.’ Donderdagmiddag echter kwam de Instructure statuspagina registreerde een “probleem” waarbij “sommige gebruikers problemen hebben met inloggen op Student ePortfolios.” Binnen een paar uur had het bedrijf weer een statusupdate toegevoegd: “Instructure heeft Canvas, Canvas Beta en Canvas Test in onderhoudsmodus gezet.” Donderdagavond laat zei het bedrijf dat Canvas ‘voor de meeste gebruikers’ weer beschikbaar was.
TechCrunch gerapporteerd Donderdag lanceerden de hackers een secundaire golf van aanvallen, waarbij ze de Canvas-portals van sommige scholen beschadigden door een HTML-bestand te injecteren om hun eigen bericht weer te geven op de Canvas-inlogpagina’s van de scholen. Volgens De Harvard Crimsonhebben aanvallers de inlogpagina van Harvard Canvas aangepast om een bericht weer te geven met een lijst met scholen waarvan de hackers beweren dat ze door de inbreuk zijn getroffen.
De boodschap van de aanvallers “drong er bij scholen op de getroffen lijst op aan om een cyberadviesbureau te raadplegen en privé contact op te nemen met de groep om vóór het einde van de dag op 12 mei over een schikking te onderhandelen – anders riskeren ze dat hun gegevens lekken”, meldde The Crimson. “Het is onduidelijk welke informatie met betrekking tot Harvard-filialen in de vermeende inbreuk was opgenomen.”
Instructure reageerde niet onmiddellijk op een verzoek om commentaar over de storingen van donderdag en hoe deze in het grotere plaatje van de inbreuk pasten. Maar de situatie is significant gezien het feit dat er potentieel een enorme hoeveelheid studenteninformatie aan het licht is gekomen, en de zichtbaarheid van het incident in het hele land maakt het een belangrijk voorbeeld van een al lang bestaand, maar eindeloos escalerend probleem van gegevensafpersing en ransomware-aanvallen.
De naam ShinyHunters wordt geassocieerd met enorme datadumps en is gekoppeld aan het beruchte hackercollectief bekend als de Com. Maar naarmate de constellatie van actoren in de loop der jaren is veranderd, hebben talloze aanvallers de meest prominente Com-gerelateerde namen overgenomen. Bij een aantal recente aanvallen zijn andere namen gebruikt, zoals Lapsus$met weinig of geen verbinding met de oorspronkelijke groep die onder de naam opereerde.
