La piattaforma di apprendimento digitale Canvas è andata offline giovedì, gettando nel caos migliaia di scuole negli Stati Uniti proprio mentre molte stavano concludendo gli esami finali e i compiti di fine anno. Questa interruzione non è stata un problema tecnico di routine, ma il risultato diretto di un sofisticato attacco informatico a Instructure, la società proprietaria di Canvas.
L’incidente evidenzia un panorama mutevole nel crimine informatico, in cui le bande di ransomware stanno andando oltre il semplice furto di dati per distruggere attivamente le infrastrutture critiche. Distruggendo una piattaforma utilizzata da milioni di studenti, gli aggressori hanno dimostrato che le istituzioni educative non sono solo bersagli facili per l’esfiltrazione di dati, ma punti di leva praticabili per causare diffusi disagi sociali.
Un attacco coordinato all’istruzione
I problemi sono iniziati il 1 maggio, quando Instructure ha segnalato un incidente di sicurezza informatica perpetrato da un gruppo utilizzando il soprannome di “ShinyHunters.” Secondo il Chief Information Security Officer di Instructure, Steve Proud, la violazione ha compromesso i dati sensibili degli utenti delle istituzioni interessate, tra cui:
- Nomi e indirizzi e-mail
*Numeri ID studente - Messaggi privati scambiati sulla piattaforma
Mentre mercoledì Instructure ha dichiarato l’incidente “risolto”, affermando che Canvas era pienamente operativo, giovedì la situazione è peggiorata rapidamente. Gli aggiornamenti di stato di mezzogiorno hanno rivelato difficoltà di accesso, seguite a breve da un arresto completo. Instructure ha messo Canvas, insieme ai suoi ambienti Beta e Test, in modalità di manutenzione per diverse ore.
Questo tempo di inattività ha coinciso con un’ondata secondaria di attacchi. Gli hacker hanno deturpato le pagine di accesso di vari portali scolastici inserendo file HTML. All’Università di Harvard, ad esempio, la schermata di accesso è stata modificata per visualizzare un elenco di scuole presumibilmente compromesse e una richiesta di negoziazione. Il messaggio avvisava le istituzioni di contattare il gruppo prima del 12 maggio per non rischiare che i loro dati venissero divulgati pubblicamente.
Gli “ShinyHunters” e l’evoluzione dell’estorsione informatica
Il gruppo dietro l’attacco opera sotto il nome ShinyHunters, un marchio storicamente associato al famigerato collettivo di hacker di lingua russa noto come The Com. Tuttavia l’attribuzione è complessa. Il nome “ShinyHunters” è stato adottato da vari gruppi scissionisti nel corso degli anni, proprio come il soprannome “Lapsus$”.
Allison Nixon, Chief Research Officer presso la società di sicurezza informatica Unit 221b, suggerisce che l’attuale attività è collegata a un sottogruppo a volte indicato come ScatteredLapsus$Hunters. Questo gruppo è noto per le tattiche di estorsione aggressive e spesso teatrali.
“Questo tipo di tattiche di pressione iniziano a sembrare molto più semplicemente mafiose violente piuttosto che qualsiasi tipo di roba da hacker esperto,” ha osservato Nixon.
I metodi degli aggressori vanno oltre l’intrusione digitale. Per forzare i pagamenti, i gruppi associati a Com hanno storicamente impiegato attacchi DDoS (distributed denial-of-service), bombardato le vittime con telefonate e persino minacciato le famiglie dei dirigenti aziendali. Nel caso di Canvas, gli hacker hanno inizialmente elencato Instructure e i suoi clienti sul loro sito di fuga sul dark web, lamentandosi del fatto che la società si rifiutava di negoziare. Giovedì sera quei riferimenti erano scomparsi: una tattica che Nixon descrive come una strategia di manipolazione per incoraggiare il pagamento o segnalare la fine di una fase di negoziazione.
Perché è importante: vulnerabilità sistemica
La portata dell’interruzione di Canvas è significativa. Gli hacker affermano di aver violato i dati di più di 8.800 scuole, anche se la portata esatta resta oggetto di indagine. Le principali istituzioni, tra cui Harvard, Columbia, Rutgers e Georgetown, hanno emesso avvisi alle loro comunità.
Questo incidente serve a ricordare duramente il rischio sistemico inerente alla tecnologia educativa centralizzata. Quando un unico fornitore di software diventa la spina dorsale dell’istruzione nazionale, diventa anche un unico punto di fallimento. L’interruzione affrontata da studenti ed insegnanti durante i periodi accademici critici sottolinea l’alto costo di questi attacchi, che si misura non solo in perdite finanziarie, ma in continuità educativa e privacy degli studenti.
Inoltre, l’attacco solleva interrogativi sulla cooperazione internazionale necessaria per combattere la criminalità informatica. Nixon ha sottolineato che i recidivi come questo gruppo possono intensificare le loro operazioni nel corso degli anni, sfruttando le lacune nel coordinamento globale delle forze dell’ordine.
Conclusione
La chiusura di Canvas è più di un inconveniente temporaneo; è un caso di studio sull’evoluzione moderna del ransomware. Prendendo di mira le infrastrutture educative essenziali, ShinyHunters ha dimostrato che i criminali informatici sono disposti a sconvolgere la vita quotidiana per massimizzare la propria influenza. Poiché le scuole continuano a dipendere fortemente da piattaforme centralizzate, la necessità di robuste difese di sicurezza informatica e di cooperazione legale internazionale non è mai stata così urgente.
