Нова хвиля шахрайства: у Канаді страждають студенти

У Канаді знову жертвами шахраїв стали студенти — викрали різні дані, але цього разу зловмисники вимагають за них викуп.

Кілька університетів і коледжів Онтаріо — серед них University of Toronto та OCAD University — повідомили, що їх зачепив великий кіберінцидент навколо навчальної платформи Canvas. Власник сервісу, американська Instructure, стверджує: зловмисники могли отримати доступ до частини персональних даних користувачів, але ознак компрометації паролів і фінансової інформації компанія не бачить.

Перше повідомлення про злам Instructure опублікувала 1 травня, назвавши атаку справою рук «злочинного зловмисника». Уже наступного дня компанія уточнила, які дані могли опинитися під ударом: імена, електронні адреси, номери студентських квитків, а також повідомлення всередині системи. Директор з інформаційної безпеки Instructure Стів Прауд окремо наголосив: доказів крадіжки паролів, державних ідентифікаторів або фінансових даних немає.

CBC News підтвердили, що щонайменше п’ять навчальних закладів Онтаріо постраждали внаслідок інциденту: University of Toronto, бізнес-школа Ivey при Western University, OCAD University, Mohawk College та Ontario Tech University. В Університеті Торонто та OCAD зазначили, що зимовий семестр уже закінчився, тому на заняття ситуація не вплинула.

Генеральний директор Beauceron Security Девід Шиплі назвав те, що сталося, безпрецедентним за масштабом для освітнього ІТ-сектору: за його словами, це може бути найбільший злам освітніх ІТ-систем в історії.

У середу Instructure повідомила, що Canvas працює у штатному режимі й ознак триваючої несанкціонованої активності не виявлено. Компанія також заявила, що це буде останнє оновлення на сторінці статусу інциденту: далі підтримку планують надавати безпосередньо постраждалим клієнтам.
Однак Шиплі стверджує, що, за наявною в нього інформацією, після первинного проникнення зловмисники повернулися в четвер: щоб вивантажити додаткові дані, змінити сторінки входу та розіслати навчальним закладам і студентам вимоги про оплату.

Як повідомляє CBC News, Університет Торонто в четвер повідомив спільноту, що його система управління навчанням Quercus буде недоступна до подальшого повідомлення через кіберінцидент. У п’ятницю виш уточнив: доступ до програми зупинили як запобіжний захід і студентам не рекомендують намагатися входити в систему. При цьому університет наполягає, що інші його сервіси не були скомпрометовані.

OCAD University у четвер увечері попередив студентів про перебої в роботі Canvas Cloud і повідомив, що уважно стежить за розвитком ситуації. Уже в п’ятницю виш заявив, що доступ до Canvas відновлено, і окремо попросив студентів бути обережнішими: можливі фішингові листи та повідомлення з проханнями надати особисті дані або паролі.

Ontario Tech University також розмістив повідомлення для студентів і співробітників: університет заявив, що разом із фахівцями Instructure з кібербезпеки моніторить ситуацію. Там підкреслили, що інші системи та навчальні платформи працюють нормально, а про будь-яку підозрілу активність просять повідомляти до сервісної служби.

Mohawk College у Гамільтоні, за словами представника коледжу Шона Коффі, отримав попередження про інцидент ще на початку тижня; у четвер Canvas був тимчасово недоступний. Instructure, зазначив Коффі, повідомляла коледжу, що паролі, дані єдиного входу, дати народження, домашні адреси та фінансова інформація не постраждали.

Судячи з повідомлень, інцидент зачепив не лише Онтаріо. У матеріалі згадуються й інші канадські виші, включно з Університетом Британської Колумбії, Університетом Саймона Фрейзера та Університетом Альберти. Представник SFU у листі зазначив, що через злам «по всьому світу» могли бути зачеплені близько 9 тисяч навчальних організацій.

Associated Press із посиланням на аналітика з питань загроз компанії Emisoft Люка Конноллі пише, що відповідальність за атаку на Canvas взяла на себе група ShinyHunters. Конноллі описує її як нещільне об’єднання підлітків і молодих людей зі США та Великої Британії.

Шиплі, зі свого боку, називає ShinyHunters «групою, що займається вимаганням даних» і пов’язує її з низкою гучних зламів останніх років, зокрема з інцидентом у Telus і британській компанії Marks and Spencer.

Конноллі передав Associated Press скриншоти, на яких ShinyHunters у неділю погрожували злити дані. У повідомленнях фігурували «дедлайни» — четвер і 12 травня; аналітик вважає, що це може вказувати на триваючі переговори щодо виплати викупу.

USA Today також повідомляв, що лист із вимогами викупу було викладено в мережу в неділю — на сайті Ransomware.live, який відстежує активність груп-вимагачів. У листі стверджувалося, що у більш ніж 9 тисячах шкіл нібито були отримані дані понад 275 мільйонів людей, і що інформацію опублікують, якщо платіж не надійде.