Pendidikan tinggi memiliki sudah lama menjadi target ransomware geng dan serangan pemerasan data. Namun, mungkin, belum pernah terjadi sebelumnya serangan siber terhadap satu platform perangkat lunak yang begitu mengganggu operasional sehari-hari ribuan sekolah di seluruh Amerika Serikat.
Platform pembelajaran digital Canvas yang banyak digunakan dimasukkan ke dalam “mode pemeliharaan” pada hari Kamis setelah pembuatnya, raksasa teknologi pendidikan Instructure, mengalami pelanggaran data dan menghadapi upaya pemerasan oleh penyerang menggunakan moniker yang dapat dikenali. “Pemburu Berkilau.” Meskipun para peretas telah mengiklankan pelanggaran tersebut dan berupaya mendapatkan pembayaran uang tebusan dari Instruktur sejak tanggal 1 Mei, situasi ini menjadi lebih mendesak bagi masyarakat umum di seluruh AS dan sekitarnya pada hari Kamis karena waktu henti Canvas menyebabkan kekacauan di sekolah-sekolah, termasuk di tengah-tengah tugas akhir dan tugas akhir tahun.
Universitas seperti Harvard, Columbia, Rutgers, dan Georgetown mengirimkan peringatan kepada mahasiswanya tentang situasi dalam beberapa hari terakhir; institusi lain, termasuk distrik sekolah di setidaknya selusin negara bagian, juga tampaknya terkena dampaknya. Dalam daftar yang diterbitkan oleh para peretas di balik serangan terhadap situs web gelap mereka yang berfokus pada tebusan, mereka mengklaim bahwa pelanggaran tersebut berdampak pada lebih dari 8.800 sekolah. Namun, skala dan jangkauan pasti pelanggaran tersebut masih belum jelas. Dan fakta bahwa Canvas tidak berfungsi sepanjang Kamis siang dan malam semakin memperumit gambaran tersebut.
Dalam berlari log pembaruan insiden yang dimulai pada tanggal 1 Mei, Steve Proud, kepala petugas keamanan informasi Instruktur, mengatakan bahwa perusahaannya “baru-baru ini mengalami insiden keamanan siber yang dilakukan oleh pelaku ancaman kriminal.” Dia menambahkan pada tanggal 2 Mei bahwa “informasi yang terlibat” untuk “pengguna di institusi yang terkena dampak” termasuk nama, alamat email, nomor ID siswa, dan pesan yang dipertukarkan oleh pengguna di platform.
Situasi tersebut akhirnya ditandai sebagai “Terselesaikan” pada hari Rabu, dengan Proud menulis bahwa “Canvas beroperasi penuh, dan kami tidak melihat adanya aktivitas tidak sah yang sedang berlangsung.” Namun, pada tengah hari pada hari Kamis, Instruktur halaman status mendaftarkan “masalah” di mana “beberapa pengguna mengalami kesulitan masuk ke ePortofolio Siswa.” Dalam beberapa jam, perusahaan telah menambahkan pembaruan status lainnya: “Instruktur telah menempatkan Canvas, Canvas Beta, dan Canvas Test dalam mode pemeliharaan.” Kamis malam, perusahaan mengatakan bahwa Canvas telah tersedia lagi “untuk sebagian besar pengguna.”
TechCrunch.dll dilaporkan pada hari Kamis para peretas meluncurkan gelombang serangan kedua, merusak portal Canvas beberapa sekolah dengan memasukkan file HTML untuk menampilkan pesan mereka sendiri di halaman login Canvas sekolah. Menurut Harvard Merah Tuapenyerang memodifikasi halaman login Harvard Canvas untuk menampilkan pesan yang menyertakan daftar sekolah yang menurut peretas terkena dampak pelanggaran tersebut.
Pesan dari para penyerang tersebut “mendesak sekolah-sekolah yang termasuk dalam daftar yang terkena dampak untuk berkonsultasi dengan perusahaan penasihat dunia maya dan menghubungi kelompok tersebut secara pribadi untuk menegosiasikan penyelesaian sebelum akhir hari pada tanggal 12 Mei—atau jika tidak, data mereka berisiko bocor,” lapor The Crimson. “Tidak jelas informasi apa yang terkait dengan afiliasi Harvard yang termasuk dalam dugaan pelanggaran tersebut.”
Instruktur tidak segera menanggapi permintaan komentar tentang pemadaman listrik yang terjadi pada hari Kamis dan bagaimana hal tersebut sesuai dengan gambaran yang lebih besar dari pelanggaran tersebut. Namun situasi ini penting mengingat banyaknya informasi siswa yang berpotensi terekspos, dan visibilitas insiden tersebut di seluruh negeri menjadikannya contoh utama masalah pemerasan data dan serangan ransomware yang sudah berlangsung lama namun terus meningkat.
Nama ShinyHunters dikaitkan dengan pembuangan data besar-besaran dan telah dikaitkan dengan kolektif peretas terkenal yang dikenal sebagai Com. Namun seiring dengan pergeseran konstelasi aktor selama bertahun-tahun, banyak penyerang yang menggunakan moniker terkait Com yang paling menonjol. Sejumlah serangan baru-baru ini memunculkan nama lain, seperti Lapsus$dengan sedikit atau tanpa koneksi ke grup asli yang beroperasi dengan nama tersebut.
Dalam kasus Canvas, juga tidak jelas siapa yang bertindak di balik nama ShinyHunters. Allison Nixon, kepala peneliti di perusahaan keamanan siber Unit 221b yang memantau secara dekat ShinyHunters dan kelompok ransomware lainnya, mengatakan aktivitas tersebut tampaknya terkait dengan aktivitas terkini dari sekelompok peretas yang terkadang disebut sebagai ScatteredLapsus$Hunters.
Sebelumnya pada hari Kamis, sebuah situs web gelap yang digunakan oleh peretas yang beroperasi dengan nama ShinyHunters untuk mengancam dan memeras target mereka mencantumkan Instruktur dan sekolah yang menggunakan perangkat lunaknya sebagai korban, bersama dengan catatan dari para peretas yang mengeluh bahwa Instruktur tidak menanggapi tuntutannya untuk menegosiasikan pembayaran. “Instruktur bahkan tidak mau repot-repot berbicara dengan kami untuk memahami situasi atau bahkan bernegosiasi [sic] bersama kami untuk mencegah bocornya data ini, “bunyi pernyataan itu. “Perusahaan tampaknya tidak peduli dengan semua siswa yang terkena dampak dan institusi yang terkena dampak pelanggaran data ini.”
Namun, pada Kamis malam, referensi ke Instructure dan pelanggannya telah hilang dari situs, yang kemudian menjadi tidak responsif. Meskipun geng ransomware terkadang menghapus korban dari situs web gelap mereka sebagai respons atas persetujuan mereka untuk membayar uang tebusan, korban juga dapat dihapus oleh peretas sebagai taktik negosiasi, kata Nixon.
“Ini sering kali merupakan salah satu taktik manipulasi yang mereka lakukan untuk mendorong korban agar membayar. Jadi ketika mereka sedang bernegosiasi atau setelah membayar, mereka mungkin akan mengeluarkan korban tersebut dari situs, atau tergantung pada bagaimana negosiasi berjalan, mereka mungkin akan mengembalikan korbannya,” kata Nixon.
Dia menambahkan bahwa, di tengah negosiasi tersebut, kelompok peretas yang terkait dengan Com diketahui melakukan taktik pemaksaan yang lebih ekstrem untuk memaksimalkan insentif korban untuk membayar, termasuk serangan penolakan layanan terdistribusi, membanjiri perusahaan dengan panggilan telepon dan email, dan bahkan mengancam keluarga eksekutif. “Taktik tekanan semacam ini mulai terlihat lebih seperti mafia kekerasan dibandingkan dengan peretas yang terampil,” kata Nixon.
Para peretas sebenarnya mencantumkan banyak korban lain di situs web gelap mereka yang sebelumnya telah dilaporkan sebagai target ShinyHunters, termasuk Amtrak, Harvard, University of Pennsylvania, Rockstar Games, Match, Hinge, dan Bumble, meskipun WIRED tidak dapat memastikan apakah organisasi-organisasi tersebut benar-benar telah dibobol oleh subgrup khusus Com ini. Nixon memperingatkan bahwa peretas di balik serangan Canvas sebenarnya telah menggunakan data lama atau data daur ulang untuk membesar-besarkan klaim pelanggaran di masa lalu.
Namun, serangan terbaru ini dan gangguan yang ditimbulkannya terhadap sekolah-sekolah di seluruh negeri, semuanya terlalu nyata—dan mewakili peningkatan signifikan dari kelompok ransomware ini. “Patut dicatat bahwa sejumlah kecil pelaku berulang dapat meningkat selama bertahun-tahun hingga mencapai titik ini,” kata Nixon. “Hal ini mencerminkan isu kejahatan dunia maya yang sistemik dan perlunya pemerintah di seluruh dunia mengesampingkan geopolitik dan bekerja sama untuk menghentikan pihak-pihak yang memeras uang dan memangsa anak-anak.”
