L’hack Canvas è una nuova forma di disastro ransomware
L’istruzione superiore è da tempo nel mirino delle gang di ransomware e degli attacchi di estorsione di dati. Tuttavia, forse mai prima d’ora un attacco informatico contro una singola piattaforma software aveva interrotto così profondamente le operazioni quotidiane di migliaia di scuole negli Stati Uniti. La piattaforma di apprendimento digitale ampiamente utilizzata, Canvas, è stata messa in “modalità manutenzione” giovedì dopo che il suo creatore, il gigante delle tecnologie educative Instructure, ha subito una violazione dei dati e un tentativo di estorsione da parte di attaccanti che utilizzano il riconoscibile moniker “ShinyHunters”.
Sebbene gli hacker stessero pubblicizzando la violazione e tentando di estorcere un riscatto a Instructure già dal 1° maggio, la situazione ha assunto un’immediatezza aggiuntiva per milioni di persone negli Stati Uniti e oltre giovedì, poiché l’interruzione di Canvas ha causato il caos nelle scuole, comprese quelle nel pieno degli esami finali e delle consegne di fine anno. Università come Harvard, Columbia, Rutgers e Georgetown hanno inviato avvisi agli studenti nei giorni scorsi; anche altre istituzioni, inclusi distretti scolastici in almeno una dozzina di stati, sembrano essere state colpite. In un elenco pubblicato dagli hacker sul loro sito dark web, essi affermano che la violazione ha interessato oltre 8.800 scuole, anche se la portata esatta rimane poco chiara. Il fatto che Canvas sia rimasto inattivo per tutto il pomeriggio e la sera di giovedì ha ulteriormente complicato il quadro.
In un registro degli aggiornamenti sull’incidente, iniziato il 1° maggio, Steve Proud, Chief Information Security Officer di Instructure, ha dichiarato che l’azienda aveva “recentemente subito un incidente di sicurezza informatica perpetrato da un attore criminale”. Il 2 maggio, ha aggiunto che “le informazioni coinvolte” per “gli utenti delle istituzioni colpite” includevano nomi, indirizzi email, numeri ID studente e messaggi scambiati dagli utenti sulla piattaforma. La situazione è stata inizialmente contrassegnata come “Risolta” mercoledì, con Proud che scriveva che “Canvas è completamente operativo e non stiamo riscontrando attività non autorizzate in corso”. A metà giornata di giovedì, tuttavia, la pagina di stato di Instructure registrava un “problema” in cui “alcuni utenti riscontravano difficoltà nell’accesso agli ePortfolio degli studenti”. Nel giro di poche ore, l’azienda aveva aggiunto un altro aggiornamento di stato: “Instructure ha messo Canvas, Canvas Beta e Canvas Test in modalità manutenzione”. Giovedì sera tardi, l’azienda ha dichiarato che Canvas era di nuovo disponibile “per la maggior parte degli utenti”.
TechCrunch ha riportato giovedì che gli hacker hanno lanciato una seconda ondata di attacchi, deturpando alcuni portali Canvas delle scuole iniettando un file HTML per visualizzare il proprio messaggio sulle pagine di accesso. Secondo The Harvard Crimson, gli attaccanti hanno modificato la pagina di accesso a Canvas di Harvard per mostrare un messaggio che includeva un elenco di scuole che, a detta degli hacker, erano state colpite dalla violazione. Il messaggio degli aggressori “esortava le scuole incluse nell’elenco degli interessati a consultare una società di consulenza informatica e a contattare il gruppo privatamente per negoziare un accordo entro la fine della giornata del 12 maggio – o altrimenti rischiare la fuga dei loro dati”, ha riportato The Crimson. “Non è chiaro quali informazioni legate agli affiliati di Harvard siano state incluse nella presunta violazione.”
Instructure non ha risposto immediatamente a una richiesta di commento sulle interruzioni di giovedì e su come si inseriscano nel quadro generale della violazione. La situazione è significativa dato l’enorme tesoro di informazioni sugli studenti potenzialmente esposto e la visibilità dell’incidente a livello nazionale lo rende un esempio chiave di un problema di lunga data, ma in costante escalation, di estorsione di dati e attacchi ransomware. Il nome ShinyHunters è associato a massicci dump di dati ed è stato collegato alla famigerata collettiva di hacker nota come Com. Tuttavia, poiché la costellazione degli attori è cambiata nel corso degli anni, numerosi aggressori hanno adottato i moniker più importanti legati a Com. Diversi attacchi recenti hanno invocato altri nomi, come Lapsus$, con poca o nessuna connessione al gruppo originale che operava con quel nome.