Het digitale leerplatform Canvas ging donderdag offline, waardoor duizenden scholen in de Verenigde Staten in chaos terechtkwamen, terwijl veel scholen bezig waren met het afronden van eindexamens en eindejaarsopdrachten. Deze verstoring was geen routinematig technisch probleem, maar het directe gevolg van een geavanceerde cyberaanval op Instructure, het bedrijf dat eigenaar is van Canvas.
Het incident benadrukt een veranderend landschap op het gebied van cybercriminaliteit, waar ransomwarebendes verder gaan dan eenvoudige gegevensdiefstal en actief kritieke infrastructuur ontwrichten. Door een platform neer te halen dat door miljoenen studenten wordt gebruikt, hebben aanvallers aangetoond dat onderwijsinstellingen niet alleen zachte doelwitten zijn voor data-exfiltratie, maar ook haalbare hefbomen zijn voor het veroorzaken van wijdverbreide maatschappelijke ontwrichting.
Een gecoördineerde aanval op het onderwijs
De problemen begonnen op 1 mei, toen Instructure een cyberbeveiligingsincident meldde dat was gepleegd door een groep die de naam “ShinyHunters” gebruikte. Volgens Steve Proud, Chief Information Security Officer van Instructure, bracht de inbreuk gevoelige gegevens in gevaar voor gebruikers bij getroffen instellingen, waaronder:
- Namen en e-mailadressen
- Student-ID-nummers
- Privéberichten uitgewisseld op het platform
Terwijl Instructure het incident woensdag ‘opgelost’ verklaarde en beweerde dat Canvas volledig operationeel was, verslechterde de situatie donderdag snel. Middagstatusupdates brachten inlogproblemen aan het licht, kort daarna gevolgd door een volledige afsluiting. Instructure plaatste Canvas, samen met de bèta- en testomgevingen, gedurende enkele uren in de onderhoudsmodus.
Deze downtime viel samen met een tweede golf van aanvallen. Hackers hebben de inlogpagina’s van verschillende schoolportals onleesbaar gemaakt door HTML-bestanden te injecteren. Op Harvard University werd het inlogscherm bijvoorbeeld aangepast om een lijst weer te geven van zogenaamd gecompromitteerde scholen en een vraag om onderhandeling. Het bericht waarschuwde instellingen om vóór 12 mei contact op te nemen met de groep, anders riskeerden ze dat hun gegevens publiekelijk zouden lekken.
De “ShinyHunters” en de evolutie van cyberafpersing
De groep achter de aanval opereert onder de naam ShinyHunters, een merk dat historisch geassocieerd is met het beruchte Russisch sprekende hackercollectief dat bekend staat als The Com. De toeschrijving is echter complex. De naam “ShinyHunters” is door de jaren heen door verschillende splintergroepen overgenomen, net zoals de naam “Lapsus$”.
Allison Nixon, Chief Research Officer bij cyberbeveiligingsbedrijf Unit 221b, suggereert dat de huidige activiteit verband houdt met een subgroep die ook wel ScatteredLapsus$Hunters wordt genoemd. Deze groep staat bekend om agressieve en vaak theatrale afpersingstactieken.
‘Dit soort pressiemiddelen beginnen veel meer op een gewelddadige maffia te lijken dan op een soort vaardig hackergedoe,’ merkte Nixon op.
De methoden van de aanvallers reiken verder dan digitale inbraak. Om betalingen af te dwingen, hebben Com-geassocieerde groepen in het verleden gebruik gemaakt van gedistribueerde denial-of-service (DDoS)-aanvallen, slachtoffers gebombardeerd met telefoontjes en zelfs de families van bedrijfsleiders bedreigd. In het geval van Canvas plaatsten de hackers Instructure en zijn klanten aanvankelijk op hun dark web-leksite, waarbij ze klaagden dat het bedrijf weigerde te onderhandelen. Donderdagavond waren die verwijzingen verdwenen – een tactiek die Nixon beschrijft als een manipulatiestrategie om betaling aan te moedigen of het einde van een onderhandelingsfase aan te geven.
Waarom dit belangrijk is: Systemische kwetsbaarheid
De omvang van de Canvas-storing is aanzienlijk. De hackers beweren gegevens van meer dan 8.800 scholen te hebben gelekt, hoewel de exacte omvang nog wordt onderzocht. Grote instellingen, waaronder Harvard, Columbia, Rutgers en Georgetown, hebben waarschuwingen gestuurd naar hun gemeenschappen.
Dit incident herinnert ons op sterke wijze aan het systeemrisico dat inherent is aan gecentraliseerde onderwijstechnologie. Wanneer één enkele softwareleverancier de ruggengraat van het nationale onderwijs wordt, wordt het ook een single point of Failure. De verstoring waarmee studenten en docenten te maken krijgen tijdens kritieke academische perioden onderstreept de hoge kosten van deze aanvallen, die niet alleen worden gemeten in financiële verliezen, maar ook in onderwijscontinuïteit en privacy van studenten.
Bovendien roept de aanval vragen op over de internationale samenwerking die nodig is om cybercriminaliteit te bestrijden. Nixon benadrukte dat recidivisten zoals deze groep hun activiteiten in de loop van de jaren kunnen laten escaleren, waarbij ze misbruik kunnen maken van hiaten in de mondiale coördinatie van de wetshandhaving.
Conclusie
De sluiting van Canvas is meer dan een tijdelijk ongemak; het is een case study in de moderne evolutie van ransomware. Door zich te richten op essentiële onderwijsinfrastructuur heeft ShinyHunters aangetoond dat cybercriminelen bereid zijn het dagelijkse leven te ontwrichten om hun macht te maximaliseren. Omdat scholen sterk afhankelijk blijven van gecentraliseerde platforms, is de behoefte aan robuuste cyberveiligheidsverdedigingen en internationale juridische samenwerking nog nooit zo urgent geweest.
