Η συμμορία εκβιαστών ShinyHunters έπληξε εκ νέου τον αναγνωρίσιμο γίγαντα της εκπαίδευσης Instructure, εκμεταλλευόμενη μια σοβαρή ευπάθεια για να παραμορφώσει τις σελίδες σύνδεσης του Canvas, που χρησιμοποιούνται από εκατοντάδες εκπαιδευτικά ιδρύματα, όπως κολέγια και πανεπιστήμια. Αυτή η παραβίαση, η οποία παρέμεινε ενεργή για περίπου 30 λεπτά προτού αφαιρεθεί, δεν συνέβη τυχαία ούτε αβασάνιστα. Αποδεικνύει τις προγραμματισμένες και μεθοδικές επιθέσεις που διεξάγονται με στόχο τη διαρροή ευαίσθητων δεδομένων. Η συμμορία εκβιαστών αναγνώρισε την ευθύνη και απείλησε να δημοσιοποιήσει κλεμμένα δεδομένα εάν δεν καταβληθούν λύτρα, προειδοποιώντας τους υπεύθυνους των ιδρυμάτων να ενεργήσουν άμεσα προτού λήξει η προθεσμία της 12ης Μαΐου.
Με μια ωμή και απευθείας προσέγγιση, το μήνυμα στο defacement τόνισε ότι η Instructure είχε την ευκαιρία να επιλύσει την κατάσταση, αλλά επέλεξε να αγνοήσει τις προειδοποιήσεις. «Εάν κάποια από τα σχολεία που πλήττονται ενδιαφέρονται να αποτρέψουν τη δημοσιοποίηση των δεδομένων τους, μπορούν να επικοινωνήσουν μαζί μας μέσω COX για να διαπραγματευτούν έναν διακανονισμό», αναφέρουν οι απατεώνες, προειδοποιώντας πως «έχετε περιθώριο μέχρι το τέλος της ημέρας στις 12 Μαΐου 2026» για να αποφύγετε τη διαρροή.
Σύμφωνα με πληροφορίες από την BleepingComputer, η ShinyHunters παραμόρφωσε τις πύλες σύνδεσης Canvas για περίπου 330 εκπαιδευτικά ιδρύματα, αντικαθιστώντας τις κανονικές σελίδες σύνδεσης με ένα μήνυμα εκβιασμού, το οποίο εμφανίστηκε και στην εφαρμογή Canvas. Η παραμόρφωση αυτή φαίνεται ότι οφείλεται σε μια ευπάθεια εντός του συστήματος της Instructure, που επέτρεψε την τροποποίηση των σελίδων χωρίς άδεια. Για το λόγο αυτό, η Instructure έχει προχωρήσει στο κλείσιμο του Canvas, προκειμένου να ανταποκριθεί στην κυβερνοεπίθεση.
Προηγούμενα επεισόδια αποκάλυψαν ότι η Instructure διενεργούσε έρευνα σχετικά με μια κυβερνοεπίθεση, που περιλάμβανε κλοπή 280 εκατομμυρίων αρχείων μαθητών και προσωπικού από 8.809 σχολεία και πανεπιστήμια που χρησιμοποιούν το σύστημα διαχείρισης εκμάθησης Canvas. Τα κλεμμένα δεδομένα περιλάμβαναν πληροφορίες όπως αρχεία χρηστών και προσωπικά μηνύματα, τα οποία φέρεται να συλλέχθηκαν μέσω λειτουργιών και API εξαγωγής δεδομένων του Canvas.
Οι αρχές επιβεβαίωσαν ότι τελικά κλάπηκαν δεδομένα κατά τη διάρκεια αυτής της επίθεσης και συνεχίζουν να ερευνούν το περιστατικό, προκειμένου να διασφαλίσουν ότι δεν θα υπάρξουν περαιτέρω επιπτώσεις ή απώλειες.
Επιπλέον, η BleepingComputer έχει προσπαθήσει πολλές φορές να επικοινωνήσει με την Instructure για περισσότερες πληροφορίες σχετικά με την παραβίαση, περιλαμβανομένης της πιθανής ενημέρωσης των μαθητών και του προσωπικού για τα συμβάντα. Ωστόσο, δεν έχουν λάβει ακόμη καμία απάντηση από την εταιρεία.
Αξιοσημείωτο είναι ότι το Canvas έχει εξελιχθεί σε έναν από τους πιο δημοφιλείς συστήματα διαχείρισης μάθησης στον κόσμο, χρησιμοποιούμενος ευρέως στην τριτοβάθμια εκπαίδευση και σε περιβάλλοντα K-12 για τη διαχείριση μαθημάτων, εργασιών, βαθμολογιών και της επικοινωνίας μεταξύ φοιτητών και καθηγητών.
Ποιος είναι ο ShinyHunters
Η συμμορία ShinyHunters έχει γίνει γνωστή για τις παραβιάσεις δεδομένων που διαπράττει από το 2018, εστιάζοντας κυρίως σε οργανισμούς που προσφέρουν υπηρεσίες cloud SaaS, όπως η Salesforce και άλλες εταιρείες. Με τη φύση των επαγγελματικών τους επιθέσεων, έχουν αναδειχθεί σε μία από τις πιο παραγωγικές ομάδες στον τομέα ενοποίησης δεδομένων και εκβιασμού εταιριών παγκοσμίως, με ανατρεπτικό αποτέλεσμα που έχει εισάγει ανησυχίες για την ασφάλεια των δεδομένων.
Επιπλέον, η ShinyHunters έχει επιτεθεί και σε άλλες μεγάλες εταιρείες όπως η Google, η Cisco και η Match Group. Συχνά, οι επιθέσεις τους περιλαμβάνουν την παραβίαση εταιρειών τρίτων και την κλοπή διαπιστευτηρίων για πρόσβαση σε συνδεδεμένα περιβάλλοντα κατ’ απαίτηση.
Οι καθιερωμένες μέθοδοι της συμμορίας περιλαμβάνουν επιθέσεις Phishing και Vishing, όπου οι δράστες προσποιούνται το προσωπικό υποστήριξης IT για να αποσπάσουν ευαίσθητες πληροφορίες από υπαλλήλους. Πρόσφατα, υιοθέτησαν επιθέσεις vishing με σκοπό την απόκτηση διαπιστευτηρίων ελέγχου ταυτότητας Microsoft Entra, που τους επιτρέπει να αποκτούν πρόσβαση σε εταιρικές υπηρεσίες υποχρεωτικά.
Οι ShinyHunters δεν είναι μόνο μια ομάδα παραβιαστών, αλλά και μια επιχείρηση εκβιασμού ως υπηρεσία, παρέχοντας συνεργασία σε άλλες εγκληματικές ομάδες με αντάλλαγμα μέρος των λύτρων που αποσπούν. Παρά τις πολλές συλλήψεις που έχουν αναφερθεί τα τελευταία χρόνια, οι επιθέσεις τους συνεχίζουν να αυξάνονται, με τις εταιρείες να είναι συνεχώς σε εγρήγορση για τις επόμενες κινήσεις τους.
Η τεχνητή νοημοσύνη συνέδεσε τέσσερις ημέρες μηδέν σε ένα exploit που παρέκαμψε τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Έρχεται ένα κύμα νέων κατορθωμάτων.
Στο Autonomous Validation Summit (12 & 14 Μαΐου), δείτε πώς η αυτόνομη, πλούσια σε περιβάλλον επικύρωση βρίσκει τι είναι εκμεταλλεύσιμο, αποδεικνύει ότι τα στοιχεία ελέγχου ισχύουν και κλείνει τον βρόχο αποκατάστασης.
