Новая волна мошенничества: в Канаде страдают студенты

В Канаде вновь жертвами мошенников стали студенты - украли различные данные, но на этот раз злоумышленники требуют за них выкуп.

Несколько университетов и колледжей Онтарио - среди них University of Toronto и OCAD University - сообщили, что их задел крупный киберинцидент вокруг учебной платформы Canvas. Владелец сервиса, американская Instructure, утверждает: злоумышленники могли получить доступ к части персональных данных пользователей, но признаков компрометации паролей и финансовой информации компания не видит.

Первое сообщение о взломе Instructure опубликовала 1 мая, назвав атаку делом рук «преступного злоумышленника». Уже на следующий день компания уточнила, какие данные могли оказаться под ударом: имена, электронные адреса, номера студенческих билетов, а также сообщения внутри системы. Директор по информационной безопасности Instructure Стив Прауд отдельно подчеркнул: доказательств кражи паролей, государственных идентификаторов или финансовых данных нет.

CBC News подтвердили, что как минимум пять учебных заведений Онтарио затронуты инцидентом: University of Toronto, бизнес-школа Ivey при Western University, OCAD University, Mohawk College и Ontario Tech University. В Университете Торонто и OCAD отметили, что зимний семестр уже закончился, поэтому на занятия ситуация не повлияла.

Генеральный директор Beauceron Security Дэвид Шипли назвал произошедшее беспрецедентным по масштабу для образовательного IT-сектора: по его словам, это может быть крупнейший взлом образовательных IT-систем в истории.

В среду Instructure сообщила, что Canvas работает в штатном режиме и признаков продолжающейся несанкционированной активности не обнаружено. Компания также заявила, что это будет последнее обновление на странице статуса инцидента: дальше поддержку планируют оказывать напрямую затронутым клиентам.

Однако Шипли утверждает, что, по имеющейся у него информации, после первичного проникновения злоумышленники вернулись в четверг: чтобы выгрузить дополнительные данные, изменить страницы входа и разослать учебным заведениям и студентам требования об оплате.

Как сообщает CBC News, Университет Торонто в четверг уведомил сообщество, что его система управления обучением Quercus будет недоступна до дальнейшего уведомления из-за киберинцидента. В пятницу вуз уточнил: доступ к программе остановили в качестве меры предосторожности и студентам не рекомендуют пытаться входить в систему. При этом университет настаивает, что другие его сервисы не были скомпрометированы.

OCAD University в четверг вечером предупредил студентов о перебоях в работе Canvas Cloud и сообщил, что внимательно следит за развитием ситуации. Уже в пятницу вуз заявил, что доступ к Canvas восстановлен, и отдельно попросил студентов быть осторожнее: возможны фишинговые письма и сообщения с просьбами предоставить личные данные или пароли.

Ontario Tech University также разместил уведомление для студентов и сотрудников: университет заявил, что вместе со специалистами Instructure по кибербезопасности мониторит ситуацию. Там подчеркнули, что остальные системы и учебные платформы работают нормально, а о любой подозрительной активности просят сообщать в сервисную службу.

Mohawk College в Гамильтоне, по словам представителя колледжа Шона Коффи, получил предупреждение об инциденте еще в начале недели; в четверг Canvas был временно недоступен. Instructure, отметил Коффи, сообщала колледжу, что пароли, данные единого входа, даты рождения, домашние адреса и финансовая информация не пострадали.

Судя по сообщениям, инцидент затронул не только Онтарио. В материале упоминаются и другие канадские вузы, включая Университет Британской Колумбии, Университет Саймона Фрейзера и Университет Альберты. Представитель SFU в письме указал, что из-за взлома «по всему миру» могли быть задеты около 9 тысяч учебных организаций.

Associated Press со ссылкой на аналитика по угрозам компании Emisoft Люка Коннолли пишет, что ответственность за атаку на Canvas взяла на себя группа ShinyHunters. Коннолли описывает ее как рыхлое объединение подростков и молодых людей из США и Великобритании.

Шипли, в свою очередь, называет ShinyHunters «группой, занимающейся вымогательством данных» и связывает ее с рядом громких взломов последних лет, в том числе с инцидентом у Telus и британской компании Marks and Spencer.

Коннолли передал Associated Press скриншоты, на которых ShinyHunters в воскресенье угрожали слить данные. В сообщениях фигурировали «дедлайны» - четверг и 12 мая; аналитик считает, что это может указывать на продолжающиеся переговоры о выплате выкупа.

USA Today также сообщал, что письмо с требованиями выкупа было выложено в сеть в воскресенье - на сайте Ransomware.live, который отслеживает активность групп-вымогателей. В письме утверждалось, что в более чем 9 тысяч школ якобы были получены данные свыше 275 миллионов человек, и что информацию опубликуют, если платеж не поступит.