O ensino superior tem sido há muito tempo um alvo de gangues de ransomware e ataques de extorsão de dados. Mas raramente um ciberataque contra uma única plataforma de software perturbou tão completamente as operações diárias de milhares de escolas nos Estados Unidos. A plataforma de aprendizado digital amplamente utilizada **Canvas** foi colocada em "modo de manutenção" na quinta-feira, após sua criadora, a gigante de tecnologia educacional **Instructure**, sofrer um vazamento de dados e enfrentar uma tentativa de extorsão por atacantes usando o reconhecível apelido **ShinyHunters**. Embora os hackers venham anunciando o vazamento e tentando extrair um pagamento de resgate da **Instructure** desde 1º de maio, a situação ganhou urgência adicional para pessoas comuns em todo os EUA e além na quinta-feira, pois a inatividade do **Canvas** causou caos nas escolas, incluindo aquelas em meio a provas finais e trabalhos de fim de ano. ### Impacto nas Instituições Educacionais Universidades como **Harvard**, **Columbia**, **Rutgers** e **Georgetown** enviaram alertas aos alunos sobre a situação nos últimos dias; outras instituições, incluindo distritos escolares em pelo menos uma dúzia de estados, também parecem ter sido afetadas. Em uma lista publicada pelos hackers por trás do ataque em seu site na dark web focado em resgates, eles afirmam que o vazamento afetou mais de 8.800 escolas. A escala e o alcance exatos do vazamento, no entanto, não estão claros. E o fato de o **Canvas** ter ficado indisponível durante a tarde e a noite de quinta-feira complicou ainda mais o cenário. Em um registro contínuo de atualizações de incidentes que começou em 1º de maio, **Steve Proud**, diretor de segurança da informação da **Instructure**, disse que a empresa "experimentou recentemente um incidente de cibersegurança perpetrado por um ator de ameaça criminoso". Ele acrescentou em 2 de maio que "as informações envolvidas" para "usuários em instituições afetadas" incluíam nomes, endereços de e-mail, números de identificação de estudante e mensagens trocadas por usuários na plataforma. A situação foi finalmente marcada como "Resolvida" na quarta-feira, com **Proud** escrevendo que "o **Canvas** está totalmente operacional e não estamos vendo nenhuma atividade não autorizada em andamento". Ao meio-dia de quinta-feira, no entanto, a página de status da **Instructure** registrou um "problema" onde "alguns usuários estão tendo dificuldades para fazer login nos ePortfólios do Aluno". Em poucas horas, a empresa adicionou outra atualização de status: "A **Instructure** colocou o **Canvas**, **Canvas** Beta e **Canvas** Test em modo de manutenção". No final da noite de quinta-feira, a empresa disse que o **Canvas** estava novamente disponível "para a maioria dos usuários". ### Táticas de Defacement e Extorsão O TechCrunch relatou na quinta-feira que os hackers lançaram uma onda secundária de ataques, alterando alguns portais **Canvas** das escolas ao injetar um arquivo HTML para exibir sua própria mensagem nas páginas de login do **Canvas** das escolas. De acordo com o The Harvard Crimson, os atacantes modificaram a página de login do **Harvard** **Canvas** para exibir uma mensagem que incluía uma lista de escolas que os hackers afirmam ter sido impactadas pelo vazamento. A mensagem dos atacantes "instou as escolas incluídas na lista afetada a consultar uma empresa de consultoria cibernética e entrar em contato com o grupo privadamente para negociar um acordo antes do final do dia em 12 de maio - ou arriscar o vazamento de seus dados", relatou o Crimson. "Não está claro quais informações ligadas a afiliados de **Harvard** foram incluídas no suposto vazamento." A **Instructure** não respondeu imediatamente a um pedido de comentário sobre as interrupções de quinta-feira e como elas se encaixam no quadro geral do vazamento. Mas a situação é significativa, dado que um enorme volume de informações de estudantes foi potencialmente exposto, e a visibilidade do incidente em todo o país o torna um exemplo chave de um problema de longa data e em constante escalada de extorsão de dados e ataques de ransomware. ### A Conexão ShinyHunters O nome **ShinyHunters** está associado a enormes vazamentos de dados e foi ligado ao infame coletivo de hackers conhecido como **Com**. Mas, à medida que a constelação de atores mudou ao longo dos anos, numerosos atacantes adotaram os apelidos mais proeminentes relacionados ao **Com**. Vários ataques recentes invocaram outros nomes, como **Lapsus$**, com pouca ou nenhuma conexão com o grupo original que operava sob esse nome. No caso do **Canvas**, também não está claro quem está agindo por trás do nome **ShinyHunters**. **Allison Nixon**, diretora de pesquisa da empresa de cibersegurança Unit 221b, que acompanhou de perto **ShinyHunters** e outros grupos de ransomware, diz que a atividade parece estar relacionada à atividade recente de um grupo de hackers às vezes referido como ScatteredLapsus$Hunters. Mais cedo na quinta-feira, um site na dark web usado por hackers operando sob o nome **ShinyHunters** para ameaçar e extorquir seus alvos listava tanto a **Instructure** quanto as escolas que usam seu software como vítimas, juntamente com uma nota dos hackers reclamando que a **Instructure** não havia respondido às suas demandas para negociar um pagamento. "A **Instructure** nem sequer se deu ao trabalho de falar conosco para entender a situação ou sequer negociar conosco para evitar a divulgação desses dados", dizia a declaração. "A Empresa aparentemente não se importa com todos os alunos afetados e as instituições impactadas por este vazamento de dados." No entanto, até a noite de quinta-feira, essas referências à **Instructure** e seus clientes haviam desaparecido do site, que mais tarde se tornou inacessível. Embora gangues de ransomware às vezes removam vítimas de seus sites na dark web em resposta a um acordo de pagamento de resgate, as vítimas também podem ser removidas pelos hackers como tática de negociação, diz **Nixon**. "Esta é frequentemente uma de suas táticas de manipulação para tentar incentivar a vítima a pagar. Então, enquanto eles estão negociando ou depois de terem pago, eles podem tirar essa vítima do site, ou dependendo de como as negociações vão, eles podem recolocar a vítima", diz **Nixon**. Ela acrescenta que, em meio a essas negociações, grupos de hackers associados ao **Com** são conhecidos por escalar para táticas coercitivas mais extremas para maximizar o incentivo da vítima a pagar, incluindo ataques de negação de serviço distribuído, inundando a empresa com chamadas telefônicas e e-mails e até mesmo ameaçando famílias de executivos. "Esses tipos de táticas de pressão começam a parecer muito mais com máfia violenta do que com qualquer tipo de habilidade de hacker", diz **Nixon**. Os hackers, de fato, listam inúmeras outras vítimas em seu site na dark web que foram anteriormente relatadas como alvos de **ShinyHunters**, incluindo **Amtrak**, **Harvard**, **University of Pennsylvania**, **Rockstar Games**, **Match**, **Hinge** e **Bumble**, embora a WIRED não pudesse confirmar se essas organizações foram de fato violadas por este subgrupo específico do **Com**. **Nixon** adverte que os hackers por trás do ataque ao **Canvas** de fato usaram dados antigos ou reciclados para exagerar as alegações de violações no passado. Este último ataque e a interrupção que ele causou para escolas em todo o país, no entanto, são muito reais - e representam uma escalada significativa deste grupo de ransomware em particular. "É notável que um pequeno número de infratores reincidentes possa escalar por anos para chegar a este ponto", diz **Nixon**. "Isso fala sobre o problema sistêmico internacional do cibercrime e a necessidade de governos em todo o mundo deixarem a geopolítica de lado e cooperarem para deter aqueles que extorquem dinheiro e exploram crianças."