Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

«Мы всё удалили, честно». Хакеры похитили данные 275 млн человек — а теперь просят поверить им на слово

3775
Instructure Canvas ShinyHunters Аллан Лиска Синтия Кайзер образование утечка данных
«Мы всё удалили, честно». Хакеры похитили данные 275 млн человек — а теперь просят поверить им на слово
Instructure Canvas ShinyHunters Аллан Лиска Синтия Кайзер образование утечка данных

Сделка должна была поставить точку, но вместо этого оставила самый неудобный вопрос.

image

Недавняя история со взломом Canvas быстро перестала быть обычным сообщением об утечке. На кону оказались данные миллионов студентов, преподавателей и сотрудников учебных заведений, а также вопрос, которому жертвы вымогателей всё чаще вынуждены верить на слово: действительно ли преступники удаляют украденные файлы после сделки.

Компания Instructure, владеющая платформой Canvas, сообщила почти 9000 затронутым университетам и школам, что достигла соглашения с группировкой ShinyHunters. По данным компании, злоумышленники передали цифровое подтверждение уничтожения данных и пообещали не шантажировать клиентов Instructure. Речь идёт о сведениях, связанных примерно с 275 млн студентов, преподавателей и сотрудников.

Тем не менее, опрошенные изданием The Register специалисты не верят, что похищенные данные исчезли. Аналитик Recorded Future* Аллан Лиска считает, что вымогатели могут не публиковать информацию сразу, чтобы сохранить репутацию «надёжных» переговорщиков, но сам факт удаления файлов остаётся недоказуемым.

Синтия Кайзер из Halcyon, ранее работавшая в ФБР, также считает подобные обещания стандартной частью вымогательских схем. По её словам, ShinyHunters уже связывали с повторной продажей и новым применением данных, которые прежде якобы были «закрыты» после атак.

Instructure прямо не заявляла о выплате выкупа. При этом формулировка о достигнутом соглашении обычно указывает на уступки со стороны жертвы. Дуг Томпсон из Tanium оценивает возможную сумму сделки в диапазоне от 5 млн до 30 млн долларов.

Атака произошла в конце апреля. После истечения срока ультиматума 6 мая ShinyHunters сменила тактику и начала давить на отдельные учебные заведения. Вымогатели разместили сообщение о выкупе примерно на 330 страницах входа Canvas, из-за чего Instructure на сутки отключила платформу. Сбой пришёлся на период выпускных экзаменов и тестирования Advanced Placement.

Главный риск теперь связан не только с возможной публикацией базы. Специалисты ожидают волны адресного фишинга против сотрудников, студентов и родителей в ближайшие шесть-двенадцать месяцев. Имена, адреса электронной почты и контекст переписок в Canvas могут помочь злоумышленникам делать письма убедительными.

Сектор образования остаётся удобной целью для вымогателей. Школам и вузам трудно быстро сменить платформу, а крупные поставщики хранят огромные массивы данных. После инцидентов с PowerSchool, Infinite Campus, а теперь и Canvas, — у преступных групп появляется всё больше причин снова атаковать образовательные сервисы, ведь они банально чаще платят выкупы из-за огромного количество чувствительных данных. Такая логика делает новые атаки на учебные платформы почти неизбежными.

* Recorded Future признана нежелательной организацией в России.