Die Hochschulbildung ist seit langem ein Ziel von Ransomware-Gruppen und Erpressungsangriffen. Selten hat jedoch ein Cyberangriff auf eine einzelne Softwareplattform die täglichen Abläufe von Tausenden von Schulen in den Vereinigten Staaten so gründlich gestört. Die weit verbreitete digitale Lernplattform **Canvas** wurde am Donnerstag in den "Wartungsmodus" versetzt, nachdem ihr Hersteller, der Bildungs-Tech-Gigant **Instructure**, ein Datenleck erlitten und einem Erpressungsversuch durch Angreifer unter dem bekannten Namen **ShinyHunters** ausgesetzt war. Obwohl die Hacker den Einbruch seit dem 1. Mai bewerben und versuchen, eine Lösegeldzahlung von **Instructure** zu erpressen, nahm die Situation am Donnerstag für normale Menschen in den USA und darüber hinaus eine zusätzliche Dringlichkeit an, da der **Canvas**-Ausfall Chaos an Schulen verursachte, darunter auch solche, die sich mitten in Abschlussprüfungen und endjährlichen Aufgaben befanden. ### Auswirkungen auf Bildungseinrichtungen Universitäten wie **Harvard**, **Columbia**, **Rutgers** und **Georgetown** versandten in den letzten Tagen Warnungen an ihre Studenten. Auch andere Einrichtungen, darunter Schulbezirke in mindestens einem Dutzend Bundesstaaten, scheinen betroffen zu sein. In einer Liste, die von den Hackern hinter dem Angriff auf ihrer erpressungsorientierten Dark-Web-Seite veröffentlicht wurde, behaupten sie, dass der Einbruch mehr als 8.800 Schulen betraf. Das genaue Ausmaß und die Reichweite des Einbruchs sind jedoch unklar. Und die Tatsache, dass **Canvas** am Donnerstagnachmittag und -abend nicht verfügbar war, erschwerte die Situation zusätzlich. In einem fortlaufenden Protokoll zur Vorfallsaktualisierung, das am 1. Mai begann, sagte **Steve Proud**, Chief Information Security Officer von **Instructure**, dass das Unternehmen "kürzlich einen Cybersicherheitsvorfall erlebt habe, der von einem kriminellen Bedrohungsakteur verübt wurde." Er fügte am 2. Mai hinzu, dass die "beteiligten Informationen" für "Benutzer an betroffenen Einrichtungen" Namen, E-Mail-Adressen, Studentennummern und Nachrichten, die von Benutzern auf der Plattform ausgetauscht wurden, umfassten. Die Situation wurde am Mittwoch schließlich als "behoben" markiert, wobei **Proud** schrieb, dass "**Canvas** voll funktionsfähig ist und wir keine fortlaufende unbefugte Aktivität feststellen". Am Mittag des Donnerstags verzeichnete die Statusseite von **Instructure** jedoch ein "Problem", bei dem "einige Benutzer Schwierigkeiten beim Anmelden bei Student ePortfolios" hatten. Innerhalb weniger Stunden fügte das Unternehmen eine weitere Statusaktualisierung hinzu: "**Instructure** hat **Canvas**, **Canvas** Beta und **Canvas** Test in den Wartungsmodus versetzt." Am späten Donnerstagabend teilte das Unternehmen mit, dass **Canvas** "für die meisten Benutzer" wieder verfügbar sei. ### Defacement und Erpressungstaktiken TechCrunch berichtete am Donnerstag, dass die Hacker eine zweite Angriffswelle gestartet hätten, bei der sie einige **Canvas**-Portale von Schulen defaced (verunstaltet) hätten, indem sie eine HTML-Datei injizierten, um ihre eigene Nachricht auf den **Canvas**-Login-Seiten der Schulen anzuzeigen. Laut The Harvard Crimson modifizierten Angreifer die **Harvard** **Canvas**-Login-Seite, um eine Nachricht anzuzeigen, die eine Liste von Schulen enthielt, die laut den Hackern von dem Einbruch betroffen waren. Die Nachricht der Angreifer "forderte die auf der betroffenen Liste aufgeführten Schulen auf, sich mit einer Cyber-Beratungsfirma zu beraten und sich privat an die Gruppe zu wenden, um eine Einigung auszuhandeln, bevor der Tag am 12. Mai endet – andernfalls drohe die Veröffentlichung ihrer Daten", berichtete The Crimson. "Es ist unklar, welche Informationen, die mit **Harvard**-Affiliates in Verbindung stehen, in dem angeblichen Einbruch enthalten waren." **Instructure** reagierte nicht sofort auf eine Anfrage nach einem Kommentar zu den Ausfällen am Donnerstag und wie diese in das Gesamtbild des Einbruchs passen. Die Situation ist jedoch bedeutsam, da eine riesige Menge an Schülerdaten potenziell offengelegt wurde und die Sichtbarkeit des Vorfalls im ganzen Land ihn zu einem Schlüsselbeispiel für das langjährige, aber sich ständig eskalierende Problem der Daten-Erpressung und Ransomware-Angriffe macht. ### Die Verbindung zu ShinyHunters Der Name **ShinyHunters** wird mit massiven Datenlecks in Verbindung gebracht und wurde mit dem berüchtigten Hacker-Kollektiv **The Com** in Verbindung gebracht. Da sich die Konstellation der Akteure jedoch im Laufe der Jahre verschoben hat, haben zahlreiche Angreifer die prominentesten **Com**-bezogenen Namen übernommen. Eine Reihe von jüngsten Angriffen hat andere Namen wie **Lapsus$** aufgerufen, mit wenig oder keiner Verbindung zur ursprünglichen Gruppe, die unter diesem Namen operierte. Im Fall von **Canvas** ist es ebenfalls unklar, wer hinter dem Namen **ShinyHunters** steckt. **Allison Nixon**, Chief Research Officer bei der Cybersicherheitsfirma Unit 221b, die **ShinyHunters** und andere Ransomware-Gruppen genau verfolgt hat, sagt, dass die Aktivität mit jüngsten Aktivitäten einer Hacker-Gruppe in Verbindung zu stehen scheint, die manchmal als ScatteredLapsus$Hunters bezeichnet wird. Früher am Donnerstag listete eine Dark-Web-Seite, die von Hackern unter dem Namen **ShinyHunters** genutzt wird, um ihre Ziele zu bedrohen und zu erpressen, sowohl **Instructure** als auch die Schulen, die ihre Software nutzen, als Opfer auf, zusammen mit einer Notiz der Hacker, die sich darüber beschwerten, dass **Instructure** nicht auf ihre Forderungen nach Verhandlungen über eine Zahlung reagiert habe. "**Instructure** hat sich nicht einmal die Mühe gemacht, mit uns zu sprechen, um die Situation zu verstehen oder mit uns zu verhandeln, um die Veröffentlichung dieser Daten zu verhindern", hieß es in der Erklärung. "Das Unternehmen scheint sich nicht um all die betroffenen Schüler und die von diesem Datenleck betroffenen Institutionen zu kümmern." Bis zum Donnerstagabend waren diese Verweise auf **Instructure** und seine Kunden jedoch von der Seite verschwunden, die später nicht mehr erreichbar war. Während Ransomware-Gruppen manchmal Opfer von ihren Dark-Web-Seiten entfernen, wenn diese zustimmen, ein Lösegeld zu zahlen, können Opfer auch von den Hackern als Verhandlungstaktik entfernt werden, sagt **Nixon**. "Dies ist oft eine ihrer Manipulationsstrategien, um das Opfer zur Zahlung zu bewegen. Wenn sie also verhandeln oder nachdem sie bezahlt haben, können sie das Opfer von der Seite nehmen, oder je nachdem, wie die Verhandlungen verlaufen, können sie das Opfer wieder darauf setzen", sagt **Nixon**. Sie fügt hinzu, dass **Com**-assoziierte Hacker-Gruppen inmitten dieser Verhandlungen dafür bekannt sind, zu extremeren Zwangstaktiken überzugehen, um den Anreiz für das Opfer zur Zahlung zu maximieren, einschließlich Distributed Denial of Service-Angriffen, dem Überfluten des Unternehmens mit Telefonanrufen und E-Mails und sogar der Bedrohung von Führungskräften und ihren Familien. "Diese Art von Drucktaktiken wirkt eher wie eine gewalttätige Mafia als wie irgendeine Art von geschicktem Hacker-Zeug", sagt **Nixon**. Die Hacker listen auf ihrer Dark-Web-Seite tatsächlich zahlreiche andere Opfer auf, die zuvor als **ShinyHunters**-Ziele gemeldet wurden, darunter **Amtrak**, **Harvard**, **University of Pennsylvania**, **Rockstar Games**, **Match**, **Hinge** und **Bumble**, obwohl WIRED nicht bestätigen konnte, ob diese Organisationen tatsächlich von dieser spezifischen Untergruppe von **The Com** kompromittiert wurden. **Nixon** warnt, dass die Hacker hinter dem **Canvas**-Angriff in der Vergangenheit alte oder recycelte Daten verwendet haben, um Behauptungen über Einbrüche zu übertreiben. Dieser jüngste Angriff und die daraus resultierenden Störungen für Schulen im ganzen Land sind jedoch nur allzu real – und stellen eine erhebliche Eskalation seitens dieser speziellen Ransomware-Gruppe dar. "Es ist bemerkenswert, dass eine winzige Anzahl von Wiederholungstätern jahrelang eskalieren kann, um diesen Punkt zu erreichen", sagt **Nixon**. "Es spricht für das systemische internationale Problem der Cyberkriminalität und die Notwendigkeit, dass Regierungen auf der ganzen Welt Geopolitik beiseite legen und zusammenarbeiten, um diejenigen zu stoppen, die Geld erpressen und Kinder ausbeuten."