Die digitale Lernplattform Canvas ging am Donnerstag offline und stürzte Tausende von Schulen in den Vereinigten Staaten ins Chaos, während viele gerade ihre Abschlussprüfungen und Jahresabschlussaufgaben erledigten. Diese Störung war kein routinemäßiger technischer Fehler, sondern das direkte Ergebnis eines raffinierten Cyberangriffs auf Instructure, dem Unternehmen, dem Canvas gehört.
Der Vorfall verdeutlicht eine sich verändernde Landschaft in der Cyberkriminalität, in der Ransomware-Banden über den einfachen Datendiebstahl hinausgehen und aktiv kritische Infrastrukturen stören. Durch die Zerstörung einer Plattform, die von Millionen von Studenten genutzt wird, haben Angreifer gezeigt, dass Bildungseinrichtungen nicht nur leichte Ziele für die Datenexfiltration, sondern auch brauchbare Angriffspunkte für weitreichende gesellschaftliche Störungen sind.
Ein koordinierter Angriff auf die Bildung
Die Probleme begannen am 1. Mai, als Instructure einen Cybersicherheitsvorfall meldete, der von einer Gruppe unter dem Pseudonym „ShinyHunters“ begangen wurde. Laut Steve Proud, dem Chief Information Security Officer von Instructure, wurden durch den Verstoß sensible Daten von Benutzern in den betroffenen Institutionen gefährdet, darunter:
- Namen und E-Mail-Adressen
- Studierendenausweisnummern
- Auf der Plattform ausgetauschte private Nachrichten
Während Instructure den Vorfall am Mittwoch als „geklärt“ erklärte und behauptete, Canvas sei voll funktionsfähig, verschlechterte sich die Situation am Donnerstag rapide. Mittagsstatusaktualisierungen zeigten Anmeldeschwierigkeiten, kurz darauf folgte eine vollständige Abschaltung. Instructure hat Canvas zusammen mit seinen Beta- und Testumgebungen für mehrere Stunden in den Wartungsmodus versetzt.
Diese Ausfallzeit fiel mit einer zweiten Angriffswelle zusammen. Hacker haben die Anmeldeseiten verschiedener Schulportale durch das Einschleusen von HTML-Dateien unkenntlich gemacht. An der Harvard University beispielsweise wurde der Anmeldebildschirm so geändert, dass nun eine Liste angeblich gefährdeter Schulen und eine Aufforderung zu Verhandlungen angezeigt werden. In der Nachricht wurden die Institutionen gewarnt, sich vor dem 12. Mai an die Gruppe zu wenden, da sie sonst riskieren würden, dass ihre Daten öffentlich durchsickern.
Die „ShinyHunters“ und die Entwicklung der Cyber-Erpressung
Die Gruppe hinter dem Angriff firmiert unter dem Namen ShinyHunters, einer Marke, die historisch mit dem berüchtigten russischsprachigen Hackerkollektiv The Com verbunden ist. Allerdings ist die Zuschreibung komplex. Der Name „ShinyHunters“ wurde im Laufe der Jahre von verschiedenen Splittergruppen übernommen, ähnlich wie der Spitzname „Lapsus$“.
Allison Nixon, Chief Research Officer beim Cybersicherheitsunternehmen Unit 221b, vermutet, dass die aktuelle Aktivität mit einer Untergruppe zusammenhängt, die manchmal als ScatteredLapsus$Hunters bezeichnet wird. Diese Gruppe ist für aggressive und oft theatralische Erpressungstaktiken bekannt.
„Diese Art von Drucktaktiken sehen viel mehr nach gewalttätiger Mafia aus als nach irgendeiner Art von geschicktem Hacker-Zeug“, bemerkte Nixon.
Die Methoden der Angreifer gehen über das digitale Eindringen hinaus. Um Zahlungen zu erzwingen, haben mit Com verbundene Gruppen in der Vergangenheit Distributed Denial-of-Service (DDoS)-Angriffe eingesetzt, Opfer mit Telefonanrufen bombardiert und sogar die Familien von Unternehmensleitern bedroht. Im Fall von Canvas führten die Hacker zunächst Instructure und seine Kunden auf ihrer Dark-Web-Leak-Site auf und beschwerten sich darüber, dass das Unternehmen Verhandlungen verweigerte. Am Donnerstagabend waren diese Hinweise verschwunden – eine Taktik, die Nixon als Manipulationsstrategie beschreibt, um Zahlungen zu fördern oder das Ende einer Verhandlungsphase zu signalisieren.
Warum das wichtig ist: Systemische Sicherheitslücke
Das Ausmaß des Canvas-Ausfalls ist erheblich. Die Hacker behaupten, Daten von mehr als 8.800 Schulen gehackt zu haben, das genaue Ausmaß wird jedoch noch untersucht. Große Institutionen, darunter Harvard, Columbia, Rutgers und Georgetown, gaben Warnungen an ihre Gemeinden heraus.
Dieser Vorfall ist eine deutliche Erinnerung an das systemische Risiko, das mit zentralisierten Bildungstechnologien verbunden ist. Wenn ein einzelner Softwareanbieter zum Rückgrat der nationalen Bildung wird, wird er auch zu einer einzigen Fehlerquelle. Die Störungen, mit denen Studierende und Lehrkräfte in kritischen Studienphasen konfrontiert sind, unterstreichen die hohen Kosten dieser Angriffe, die sich nicht nur in finanziellen Verlusten, sondern auch in der Kontinuität der Ausbildung und der Privatsphäre der Studierenden bemessen.
Darüber hinaus wirft der Angriff Fragen zur internationalen Zusammenarbeit auf, die zur Bekämpfung der Cyberkriminalität erforderlich ist. Nixon betonte, dass Wiederholungstäter wie diese Gruppe ihre Operationen über Jahre hinweg ausweiten und dabei Lücken in der globalen Koordinierung der Strafverfolgungsbehörden ausnutzen können.
Fazit
Das Herunterfahren von Canvas ist mehr als eine vorübergehende Unannehmlichkeit; Es handelt sich um eine Fallstudie zur modernen Entwicklung von Ransomware. Indem ShinyHunters auf wichtige Bildungsinfrastruktur abzielte, hat ShinyHunters gezeigt, dass Cyberkriminelle bereit sind, das tägliche Leben zu stören, um ihre Hebelwirkung zu maximieren. Da Schulen weiterhin stark von zentralisierten Plattformen abhängig sind, war der Bedarf an robusten Cybersicherheitsmaßnahmen und internationaler rechtlicher Zusammenarbeit noch nie so dringend.
