Киберпрестъпната група ShinyHunters отново е компрометирала инфраструктурата на Instructure, този път използвайки уязвимост за дефейсване на Canvas login порталите на стотици колежи и университети.

По време на атаката, продължила приблизително 30 минути преди страниците да бъдат свалени, login порталите на Canvas показваха съобщение от ShinyHunters с искане за откуп и заплаха за публикуване на откраднати данни.

Ултиматум към университетите

В публикуваното съобщение атакуващите твърдят, че Instructure е игнорирала предишния пробив и вместо да преговаря е приложила единствено „security patches“.

Според заплахата засегнатите учебни заведения имат срок до 12 май 2026 г. да се свържат с групата и да договорят плащане, в противен случай данните на студенти и служители ще бъдат публично публикувани.

Дефейснатите страници са били видими както през web portal интерфейсите, така и в Canvas приложението.

Засегнати са около 330 образователни институции

Според наличната информация са били компрометирани приблизително 330 учебни институции, чиито Canvas login страници са били заменени с extortion съобщението на ShinyHunters.

Сред засегнатите платформи е имало и университетски портали в САЩ, включително този на University of Texas.

Според първоначалните данни атакуващите са използвали уязвимост в системите на Instructure, която е позволила модификация на login порталите.

След инцидента компанията временно е свалила Canvas offline, докато реагира на атаката.

Предишният пробив е засегнал милиони записи

Само преди дни Instructure потвърди, че разследва мащабен киберинцидент, след като ShinyHunters заяви, че е откраднала около 280 милиона записа, свързани с:

• студенти;
• преподаватели;
• служители;
• училища;
• университети;
• образователни платформи.

По данни на атакуващите компрометираната информация е била извлечена чрез Canvas export функции и API интерфейси.

Сред предполагаемо откраднатите данни са:

• потребителски записи;
• enrollment информация;
• лични съобщения;
• вътрешни комуникации;
• академични данни.

Instructure вече е потвърдила, че при атаката действително е настъпила кражба на данни, но разследването все още продължава.

Canvas е сред най-използваните образователни платформи

Canvas е една от най-разпространените learning management системи в света и се използва широко както във висшето образование, така и в K-12 сектора.

Платформата подпомага:

• управление на учебни курсове;
• assignments;
• оценяване;
• комуникация между преподаватели и студенти;
• споделяне на образователни ресурси.

Това прави подобен пробив особено чувствителен, тъй като платформата обработва големи обеми лична и академична информация.

ShinyHunters – една от най-активните extortion групи

Името ShinyHunters се свързва с множество операции по кражба на данни още от 2018 г., но през последната година групата се превърна в една от най-активните extortion организации в света.

Основният фокус на атакуващите са:

• cloud SaaS среди;
• Salesforce инфраструктури;
• SSO акаунти;
• корпоративни интеграционни платформи.

Сред компаниите, свързвани с кампании на ShinyHunters, са:

• Google
• Cisco
• Match Group
• Pornhub

Групата често атакува third-party integration компании и използва откраднати authentication токени за достъп до свързани SaaS среди.

Vishing и кражба на SSO акаунти

ShinyHunters е известна и с мащабни voice phishing кампании срещу:

• Microsoft
• Google
• Okta

Атакуващите се представят за IT support служители и убеждават жертвите да въведат:

• пароли;
• MFA кодове;
• SSO идентификационни данни;
• device authentication кодове.

След компрометиране на акаунтите те получават достъп до корпоративни услуги като:

• Salesforce
• Microsoft 365
• Google Workspace
• SAP
• Slack
• Adobe
• Atlassian
• Zendesk
• Dropbox

Extortion-as-a-Service модел

Според разследванията ShinyHunters функционира и като extortion-as-a-service група, която извършва изнудване от името на други киберпрестъпници срещу процент от получените ransom плащания.

Въпреки множество арести, свързвани с групата – включително около атаките срещу Snowflake, PowerSchool и форума Breached v2 – организации по света продължават да получават extortion съобщения, подписани с фразата:

“We are ShinyHunters.”

Образователният сектор остава уязвима цел

Случаят с Instructure показва колко привлекателни са образователните платформи за modern extortion групите.

Университетите и училищата често съхраняват:

• чувствителни лични данни;
• академични записи;
• финансови информации;
• комуникации;
• идентификационни данни на студенти и преподаватели.

Комбинацията от голям обем потребители, интегрирани cloud услуги и ограничени ресурси за киберсигурност превръща сектора в една от най-атакуваните среди през последните години.