Instructure, empresa por trás do Canvas, paga resgate a hackers

 (insidehighered.com)
1 pontos por GN⁺ 6 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • A Instructure pagou um resgate (ransom) ao ShinyHunters, que invadiu duas vezes o sistema de gestão de aprendizagem Canvas, e fechou um acordo de recuperação
  • Segundo a empresa, pelo acordo os hackers devolveram dados comprometidos relacionados a cerca de 275 milhões de usuários de mais de 8.800 instituições
  • A Instructure afirmou ter recebido shred logs como confirmação da destruição dos dados e garantias de que os clientes não sofrerão extorsão adicional
  • O ShinyHunters havia alertado sobre o vazamento de nomes, e-mails, IDs de estudantes e mensagens privadas, enquanto a indisponibilidade do Canvas levou universidades a adiarem provas e prazos
  • Cliff Steinhauer, da National Cybersecurity Alliance, avaliou que pagar resgate pode recompensar os ataques e ampliar o risco de exposição no longo prazo

Pagamento de resgate pela Instructure e recuperação do Canvas

  • A Instructure pagou um ransom a um grupo de cibercriminosos que hackeou duas vezes seu sistema de gestão de aprendizagem Canvas ao longo da última semana e meia
  • Segundo uma atualização publicada pela Instructure na noite de segunda-feira, o acordo levou os hackers a devolverem dados comprometidos relacionados a cerca de 275 milhões de usuários de mais de 8.800 instituições
  • A Instructure disse ter recebido shred logs, uma confirmação digital da destruição dos dados, além de garantias de que, por causa deste incidente, “os clientes da Instructure não serão extorquidos, publicamente ou de qualquer outra forma”
  • O acordo abrange “todos os clientes da Instructure afetados”, e a orientação é que clientes individuais não precisam entrar em contato com o ShinyHunters, o grupo de extorsão que invadiu o Canvas duas vezes e o desativou temporariamente
  • A Instructure afirmou que, embora nunca haja certeza total ao lidar com cibercriminosos, é importante tomar todas as medidas possíveis sob seu controle para oferecer tranquilidade adicional aos clientes
  • A empresa segue trabalhando com firmas especializadas para apoiar a análise forense, reforçar o ambiente e revisar os dados envolvidos, e pretende fornecer atualizações conforme o trabalho avançar

Exigências do ShinyHunters e interrupção do serviço Canvas

  • A Instructure não divulgou o valor do acordo, mas ele foi fechado um dia antes do prazo de resgate de 12 de maio estabelecido pelo ShinyHunters
  • O ShinyHunters também foi ligado a violações de dados recentes na University of Pennsylvania, Princeton University e Harvard University
  • A invasão do Canvas pelo ShinyHunters causou uma interrupção significativa no serviço, e o grupo alertou a Instructure a pagar para evitar o vazamento de dados de usuários contendo nomes, endereços de e-mail e números de ID de estudantes
  • Em uma carta de resgate publicada no Ransomware.live em 3 de maio, o ShinyHunters afirmou possuir “bilhões de mensagens privadas entre alunos e professores, e entre alunos e alunos”, além de conversas pessoais e outras informações de identificação pessoal
  • Os hackers exigiram que a Instructure entrasse em contato até 6 de maio de 2026; caso contrário, vazariam os dados e causariam “problemas digitais irritantes”
  • A Instructure pareceu não atender à exigência, mas tratou os problemas de segurança, e o Canvas voltou a ficar totalmente operacional até terça-feira, 5 de maio
  • No entanto, na quinta-feira, usuários do Canvas novamente não conseguiam acessar suas contas, e muitos que se preparavam para provas finais e trabalhos de fim de semestre viam apenas mensagens dos hackers
  • A mensagem dos hackers afirmava que “o ShinyHunters comprometeu a Instructure novamente” e dizia que a empresa apenas aplicou patches de segurança sem entrar em contato com eles
  • A mensagem exigia que as escolas afetadas, se quisessem impedir a divulgação dos dados, consultassem uma empresa de consultoria em cibersegurança e negociassem um acordo por contato privado via TOX, estabelecendo 12 de maio como prazo para as instituições e para a Instructure
  • Em uma carta de resgate publicada no RansomLook, o ShinyHunters afirmou que a Instructure não entendeu a situação nem iniciou negociações para impedir a divulgação dos dados, e que o valor exigido não era tão alto quanto se imaginava

Resposta das universidades e mudança na comunicação da Instructure

  • Com a continuidade da indisponibilidade do Canvas, várias universidades adiaram provas e prazos de projetos finais enquanto aguardavam a resolução do problema
  • Após a segunda invasão, o CEO da Instructure, Steve Daly, reconheceu em uma atualização no site da empresa que, na semana anterior, tentou confirmar os fatos com precisão antes de se pronunciar publicamente, mas errou no equilíbrio
  • Daly afirmou: “Foquei em verificar os fatos e fiquei em silêncio quando vocês precisavam de atualizações contínuas”, acrescentando que pretende mudar isso no futuro
  • Depois disso, a Instructure aparentemente também iniciou comunicação com os hackers e, na tarde de segunda-feira, informou em seu site que “todos os ambientes do Canvas estão disponíveis”

Os riscos de pagar resgate

  • Cliff Steinhauer, diretor de segurança da informação e engajamento da National Cybersecurity Alliance, avaliou que pagar resgate pode ter resolvido o problema imediato da Instructure, mas vai contra princípios gerais de resposta em cibersegurança
  • Segundo Steinhauer, o pagamento de resgate pode criar “um perigoso ciclo de feedback em que atacantes são, na prática, recompensados por invasões bem-sucedidas”
  • Mesmo que uma organização acredite estar “resolvendo” a crise imediata, isso pode reforçar os incentivos econômicos da extorsão cibernética e sinalizar a agentes de ameaça que atacar grandes plataformas educacionais ou serviços críticos é lucrativo
  • Ele afirmou que, como as autoridades de aplicação da lei alertam de forma consistente, pagar resgate incentiva novos ataques em todo o setor e corre o risco de normalizar o próprio pagamento como estratégia viável de resposta a incidentes
  • Steinhauer também avaliou que o acordo entre Instructure e ShinyHunters deixa questões de confiança e certeza em aberto
  • Mesmo que criminosos afirmem ter apagado os dados roubados ou forneçam “provas” de destruição, não há forma confiável de verificar isso; no passado, os dados muitas vezes foram mantidos, revendidos ou reutilizados em extorsões futuras
  • Do ponto de vista do risco, organizações podem acabar trocando uma interrupção de serviço de curto prazo, visível no momento, por um problema de exposição de longo prazo, que pode reaparecer meses ou anos depois, sem alavancas adicionais para evitá-lo

Leituras relacionadas

1 comentários

 
GN⁺ 6 시간 전
Comentários do Hacker News
  • Alguns anos atrás, um funcionário do Departamento de Justiça participou de uma conferência em que houve um debate sobre esse tema de pagamento de resgate
    Ele explicou isso como algo parecido com resgate por sequestro. Quando americanos são feitos reféns, cada família quer pagar, mas o resultado é que surge uma indústria de sequestrar americanos. O Congresso teria tornado ilegal pagar sequestradores para impedir isso, e, com o sequestro de americanos deixando de ser lucrativo, o alvo teria passado a ser europeus
    A proposta dele era começar a alertar consultores de cibersegurança e seguradoras, que costumam ser envolvidos com frequência nessas situações, de que pagamentos a países sancionados provavelmente já são ilegais e podem ser alvo de investigação. Os primeiros pegos sofreriam bastante, mas, no fim, o setor mudaria de direção e miraria menos empresas americanas
    • Essa é a direção certa. Em vez de criar do zero uma indústria criminosa de ransomware pagando resgate, é melhor forçar as empresas a se recuperarem a partir de backups e remover o incentivo financeiro do crime
      Executivos que não mantiveram backups regulares de forma adequada obviamente devem ser responsabilizados
    • Quem poderia imaginar que dar milhões de dólares em criptomoedas para adolescentes seria uma boa ideia
      Esse dinheiro só vai financiar mais exploração de vulnerabilidades e mais bobagens, numa corrida interminável para baixo. O Lapsus$, grupo acima do ShinyHunters, também publicou no próprio site que compraria acesso interno a redes corporativas. Eles diziam não precisar dos dados, só do caminho de entrada
      É isso que acontece quando se continua dando milhões de dólares a criminosos em criptomoedas difíceis de rastrear
    • Não entendo por que esse tipo de pagamento de resgate não configura violação das leis antilavagem de dinheiro. Parece improvável que tenham verificado se o destinatário não está sob sanção ou ligado a uma organização sancionada
    • Nos EUA, pagar sequestradores é realmente ilegal? Não encontrei nada que mostre que essa lei de fato foi aprovada
  • Há muita discussão boa sobre teoria dos jogos e incentivos econômicos, mas existe um ponto mais importante e de autopreservação. Se você paga o resgate, os hackers vêm 10 vezes mais para cima
    Pagar resgate envia três sinais: você é vulnerável a ataques, não consegue se recuperar deles e tem dinheiro em caixa. O resultado é que você passa a ser muito mais atacado. Você pode perguntar como eu sei, mas eu não vou responder
  • Por um lado, toda vez que se paga um resgate, isso incentiva pessoas desse tipo a começar ou expandir um negócio de ransomware, então é ruim
    Por outro lado, grupos de ransomware que querem continuar operando precisam ser “honestos” no sentido de não publicar nem apagar os dados fora do combinado. Só assim conseguem continuar sendo operadores de ransomware confiáveis, o que é ironicamente engraçado. Em muitos casos, a vítima prefere que o dinheiro vá para o operador de ransomware a ver os dados vazados. Então, para a vítima atual, pagar pode ser a melhor opção, mas isso aumenta a chance de haver vítimas futuras
    A dinâmica e a economia do ransomware são interessantes
    • Essa sempre é a teoria dos jogos do resgate, um típico problema de ação coletiva em forma de dilema do prisioneiro
      Para cada empresa individual, provavelmente faz mais sentido pagar o resgate, mas se ninguém pagasse, todos estariam melhor
      É por isso que lugares como os EUA têm uma política oficial de não pagar resgate, e existem outras políticas parecidas. Se não houver um mecanismo para impedir que a vítima individual pague, o incentivo sempre empurra para o pagamento, e o resgate continua lucrativo
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • Não sei se a reputação dos atacantes é tão relevante assim. Eles podem simplesmente mudar de marca quando quiserem. Afinal, são cibercriminosos anônimos, e há vários motivos para fazer isso além de “lavar” reputação
      Seja usando um nome “novo” ou o nome antigo, não me parece que isso mude muito o cálculo para a vítima que está com os sistemas feitos reféns
    • O pagamento de resgate deveria ser sempre ilegal, e o funcionário que o autorizasse deveria responder a acusação criminal federal. Mesmo que a empresa quebre ou pessoas morram como consequência, eu consideraria isso um sacrifício aceitável
    • Se assumirmos um mundo em que ransomware continua existindo e todos os dados podem virar reféns a qualquer momento, então acabaremos com um mundo projetado em torno disso
      No fim, talvez surja uma espécie de “guilda de ransomware” no estilo Discworld, cobrando “seguro” e lidando com quem faz dados de reféns sem autorização, ou então sistemas baseados em criptografia de ponta a ponta que tornem os dados sem valor
    • Às vezes penso na ideia do “terrorista benevolente”[0], alguém que causa grande dano a algumas pessoas para levar o mundo a um lugar melhor. O Kwisatz Haderach de Dune é um exemplo clássico, então a ideia não seria exatamente original, mas acho divertida a hipótese de operar uma empresa de ransomware que nunca cumpre a promessa depois de receber o resgate
      Você arruinaria muita gente, mas quanto melhor imitasse esses grupos e, depois de receber, não restaurasse nada, mais poderia tornar inviável o ransomware como negócio. O que poderia dar errado? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • No fim, isso parece apenas “pagamos o resgate, mas não se preocupem porque os bandidos garantiram que está tudo bem”, envolto de forma pesadíssima em gestão de imagem
    • Eles disseram que “receberam confirmação digital da destruição dos dados (shred logs)”; isso é para fazer os usuários acreditarem que os hackers não guardaram nem uma cópia?
    • Eu achava que pagar hackers era ilegal, mas pelo visto é legal ou pelo menos não é claro. Pelo menos eu entendia que havia a condição de a empresa confirmar com as autoridades que o resgate não iria para um grupo de hackers na lista de sanções do governo
      Também tenho curiosidade sobre a causa raiz do ataque. Vi rumores online de que poderia estar relacionado a uma vulnerabilidade em sites Salesforce Experience Cloud, um padrão que o ShinyHunters usa com frequência, mas isso não foi confirmado. O que foi confirmado é que a vulnerabilidade estava relacionada ao recurso “Free-For-Teacher accounts” do Canvas
    • Se os bandidos republicarem as informações depois de receber, eles reduzem não só a própria chance de receber dinheiro no futuro, mas também a chance de outros bandidos receberem
      Então até outros criminosos têm incentivo para impedir quem vaza as informações depois de receber

  • We received digital confirmation of data destruction (shred logs).
    Isso é uma fala surpreendentemente ingênua

    • Os hackers têm incentivo para destruir os dados como prometeram. Se virar padrão pagar resgate e mesmo assim ter os dados vazados, então no futuro ninguém mais vai pagar
      Claro, isso não impede os hackers de venderem os dados por baixo dos panos e depois dizerem “não fomos nós, foi alguém que conseguiu os mesmos dados em outro ataque”
    • Não é ingenuidade; parece mais que eles estão apostando na ingenuidade dos clientes
    • Como alguém garante que eles não copiaram os dados e só destruíram uma das cópias, ou até mesmo que não forjaram os logs de destruição?
    • Só espero que seja texto de relações públicas para salvar as aparências. Ainda assim, queria que as empresas parassem de fazer esse tipo de alegação
  • Um bom projeto público de tecnologia da informação seria manter uma lista pública de organizações que cederam a exigências de resgate, para que possamos escolher outra opção
    Claro que isso também exigiria coragem diante da possibilidade de responsabilidade por difamação. Não parece que um aviso legal eliminaria muito desse risco
    • Então você mudaria seu negócio para um lugar que foi hackeado mas não pagou, e por isso os dados dos clientes vazaram?

  • The data was returned to us.
    Pelo que entendo, os dados foram copiados[1]. A menos que os originais tenham sido criptografados ou apagados, eu não diria que os dados foram “devolvidos”. A expressão é confusa, embora talvez seja comum no setor
    Isso é bom para o Monero[2]. A alta de janeiro também pode ter sido por causa de hack[3]
    O Canvas apareceu no site do ShinyHunters[4] e depois saiu[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • Os hackers provavelmente têm incentivo a não vazar se quiserem receber o próximo resgate
    • Este é um bom momento para lembrar que, em vazamentos de dados, raramente os dados são realmente “roubados”. A ameaça e o dano reais surgem quando os dados roubados são usados contra você
    • A linha seguinte à que você citou é esta:

      We received digital confirmation of data destruction (shred logs).
      Se eles não apagaram, isso nem seria surpreendente, mas provavelmente é por isso que chamam de “devolução”. Na visão deles, os dados foram “devolvidos” e depois apagados

  • No longo prazo, fico pensando se não seria melhor que uma empresa dessas, depois de ser hackeada e pagar um resgate com cara de suborno, acabasse quebrando de alguma forma
    Acho que o custo de ser hackeado é baixo demais. Especialmente para a alta gestão e o nível executivo, isso é tratado só como mais uma abstração com custo de tempo e recursos
    • Nunca vi uma empresa admitir que o vazamento de dados foi o ponto em que ela começou a caminhar para a falência
      Também não se vê uma fuga em massa de clientes depois de um incidente. E 7.000 instituições de ensino, sem verba e sobrecarregadas, não vão migrar todas de uma vez
      Então é seguro presumir que um vazamento de dados não tem impacto duradouro na empresa. Em alguns meses, todo mundo vai esquecer
  • Como sumiu da página do ShinyHunters e a recuperação foi rápida demais, eu imaginei que fosse isso. O que mais quero saber é quanto eles pagaram
    Também não gosto muito da forma como eles falam que os dados estão seguros ou foram destruídos. Em casos assim, esse tipo de promessa parece bastante duvidoso
  • Como isso entra na contabilidade? Que nome dão para essa despesa? Uma empresa pode simplesmente enviar uma quantia grande para uma conta obscura de criptomoeda sem dar explicação à Receita?
    • Imagino que o resgate seja pago pela seguradora e vinculado a uma apólice em vigor. Não sei o impacto tributário, e não sou da área financeira nem contábil
    • Talvez coloquem como “recuperação de dados”?