Canvas-Betreiber Instructure zahlt Lösegeld an Hacker

 (insidehighered.com)
1 Punkte von GN⁺ 6 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Instructure hat an ShinyHunters, die das Lernmanagementsystem Canvas zweimal kompromittiert hatten, Lösegeld gezahlt und eine Wiederherstellungsvereinbarung getroffen
  • Nach der Vereinbarung hätten die Hacker die kompromittierten Daten zu rund 275 Millionen Nutzern von mehr als 8.800 Institutionen zurückgegeben
  • Instructure erklärte, man habe shred logs als Bestätigung der Datenvernichtung erhalten sowie die Zusicherung, dass Kunden nicht weiter erpresst würden
  • ShinyHunters hatte vor der Offenlegung von Namen, E-Mail-Adressen, Studierenden-IDs und privaten Nachrichten gewarnt; durch Canvas-Ausfälle verschoben Universitäten Prüfungen und Abgabefristen
  • Cliff Steinhauer von der National Cybersecurity Alliance bewertete Lösegeldzahlungen als potenziellen Anreiz für Angriffe und als Risiko langfristiger Exponierung

Instructures Lösegeldzahlung und die Wiederherstellung von Canvas

  • Instructure hat in den vergangenen anderthalb Wochen Lösegeld an eine Cybercrime-Gruppe gezahlt, die das eigene Lernmanagementsystem Canvas zweimal gehackt hatte
  • Laut einem Update von Montagabend wurden durch die Vereinbarung kompromittierte Daten im Zusammenhang mit rund 275 Millionen Nutzern von mehr als 8.800 Institutionen zurückgegeben
  • Instructure erhielt eine digitale Bestätigung der Datenvernichtung in Form von shred logs und zudem die Zusicherung, dass „Instructure-Kunden infolge dieses Vorfalls weder öffentlich noch auf andere Weise erpresst werden“
  • Die Vereinbarung gilt für „alle betroffenen Instructure-Kunden“; einzelne Kunden müssten die Erpressergruppe ShinyHunters, die Canvas zweimal kompromittiert und zeitweise deaktiviert hatte, nicht selbst kontaktieren
  • Instructure erklärte, dass es im Umgang mit Cyberkriminellen keine vollständige Gewissheit gebe, es aber wichtig sei, alle kontrollierbaren Maßnahmen zu ergreifen, um Kunden so weit wie möglich zusätzliche Sicherheit zu geben
  • Instructure arbeitet weiter mit spezialisierten Firmen zusammen, um forensische Analysen zu unterstützen, die Umgebung zu härten und die betroffenen Daten umfassend zu prüfen, und will mit fortschreitender Arbeit weitere Updates liefern

Forderungen von ShinyHunters und Ausfälle des Canvas-Dienstes

  • Instructure nannte die Höhe der Zahlung nicht, doch die Einigung erfolgte einen Tag vor der von ShinyHunters gesetzten Lösegeldfrist am 12. Mai
  • ShinyHunters wird auch mit jüngsten Datenpannen an der University of Pennsylvania, der Princeton University und der Harvard University in Verbindung gebracht
  • Der Einbruch bei Canvas führte zu erheblichen Dienstausfällen, und ShinyHunters warnte Instructure, Geld zu zahlen, wenn die Offenlegung von Nutzerdaten mit Namen, E-Mail-Adressen und Studierenden-ID-Nummern verhindert werden solle
  • In einem am 3. Mai bei Ransomware.live veröffentlichten Erpresserschreiben behauptete ShinyHunters, über „Milliarden privater Nachrichten zwischen Studierenden und Lehrenden sowie zwischen Studierenden untereinander“ sowie über persönliche Gespräche und weitere personenbezogene Daten zu verfügen
  • Die Hacker forderten Instructure auf, sich bis zum 6. Mai 2026 zu melden, andernfalls würden sie die Daten veröffentlichen und „lästige digitale Probleme“ verursachen
  • Instructure schien auf diese Forderung zunächst nicht einzugehen, bearbeitete aber die Sicherheitsprobleme, und Canvas war bis Dienstag, den 5. Mai, wieder vollständig nutzbar
  • Am Donnerstag konnten Canvas-Nutzer jedoch erneut nicht auf ihre Konten zugreifen; viele von ihnen, die sich auf Abschlussprüfungen und Semesterendaufgaben vorbereiteten, sahen nur noch eine Nachricht der Hacker
  • In dieser Nachricht hieß es, ShinyHunters habe Instructure erneut kompromittiert; Instructure habe keinen Kontakt aufgenommen und lediglich Security-Patches eingespielt
  • In der Nachricht wurden betroffene Bildungseinrichtungen aufgefordert, sich mit einer Cyber-Beratungsfirma abzustimmen und über TOX vertraulich Kontakt aufzunehmen, um eine Vereinbarung auszuhandeln, falls sie eine Veröffentlichung der Daten verhindern wollten; als Frist nannten die Angreifer für Institutionen und Instructure den 12. Mai
  • In einem bei RansomLook veröffentlichten Erpresserschreiben behauptete ShinyHunters, Instructure habe die Lage nicht verstanden oder keine Verhandlungen aufgenommen, um eine Datenveröffentlichung zu verhindern, und die Forderung sei auch nicht so hoch gewesen, wie man vielleicht denke

Reaktionen der Universitäten und veränderte Kommunikation von Instructure

  • Wegen der anhaltenden Canvas-Ausfälle verschoben mehrere Universitäten Prüfungen und Fristen für Abschlussprojekte, während sie auf eine Lösung warteten
  • Instructure-CEO Steve Daly räumte nach dem zweiten Vorfall in einem Update auf der Website ein, das Unternehmen habe in der vergangenen Woche vor öffentlichen Aussagen die Fakten genau verifizieren wollen, dabei aber die Balance verfehlt
  • Daly erklärte, man habe sich auf die Faktenprüfung konzentriert und sei still geblieben, als fortlaufende Updates nötig gewesen wären; das wolle man künftig ändern
  • Danach scheint Instructure auch die Kommunikation mit den Hackern aufgenommen zu haben; am Montagnachmittag teilte das Unternehmen auf seiner Website mit, dass „alle Canvas-Umgebungen verfügbar“ seien

Risiken von Lösegeldzahlungen

  • Cliff Steinhauer, Director of Information Security and Engagement bei der National Cybersecurity Alliance, erklärte, die Zahlung habe Instructures unmittelbares Problem möglicherweise gelöst, widerspreche aber allgemeinen Grundsätzen der Cybersecurity-Reaktion
  • Steinhauer sieht in Lösegeldzahlungen das Risiko einer „gefährlichen Feedback-Schleife, in der Angreifer für erfolgreiche Kompromittierungen faktisch belohnt werden“
  • Selbst wenn Organisationen glauben, eine akute Krise damit zu „lösen“, verstärken sie die ökonomischen Anreize für Cyber-Erpressung und senden Bedrohungsakteuren das Signal, dass Angriffe auf große Bildungsplattformen oder kritische Dienste profitabel sein können
  • Wie Strafverfolgungsbehörden immer wieder warnten, könnten Lösegeldzahlungen weitere Angriffe in der gesamten Branche fördern und die Zahlung selbst als praktikable Incident-Response-Strategie normalisieren
  • Steinhauer erklärte zudem, die Vereinbarung zwischen Instructure und ShinyHunters lasse Fragen zu Vertrauen und Gewissheit offen
  • Selbst wenn Kriminelle behaupten, gestohlene Daten gelöscht zu haben oder einen „Nachweis“ der Vernichtung liefern, gebe es keine verlässliche Möglichkeit, dies zu überprüfen; in der Vergangenheit seien Daten oft aufbewahrt, weiterverkauft oder später erneut für Erpressung genutzt worden
  • Aus Risikosicht könnten Organisationen damit kurzfristige Serviceausfälle gegen langfristige Exponierungsprobleme eintauschen, die Monate oder Jahre später wieder auftauchen und gegen die es dann womöglich keinen zusätzlichen Hebel mehr gibt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 6 시간 전
Hacker-News-Kommentare
  • Vor einigen Jahren nahm ein Vertreter des Justizministeriums an einer Konferenz teil, auf der es in einer Diskussionsrunde genau um solche Lösegeldzahlungen ging
    Er erklärte das als etwas Ähnliches wie Entführungs-Lösegeld. Wenn Amerikaner als Geiseln genommen werden, möchte jede Familie zahlen, aber dadurch entsteht am Ende eine Industrie, die Amerikaner entführt. Der Kongress habe das Zahlen an Entführer verboten, um das zu verhindern, und nachdem es unprofitabel geworden sei, seien Entführungen von Amerikanern zurückgegangen, während stattdessen Europäer ins Visier geraten seien
    Sein Vorschlag war, Cybersecurity-Berater und Versicherer, die in solchen Situationen häufig hinzugezogen werden, darauf hinzuweisen, dass Zahlungen an sanktionierte Staaten wahrscheinlich bereits illegal sind und Ermittlungen nach sich ziehen könnten. Die ersten, die erwischt würden, träfe es hart, aber am Ende würde die Branche den Kurs ändern und US-Unternehmen seltener angreifen
    • Das ist die richtige Richtung. Statt durch Lösegeldzahlungen eine neue Ransomware-Kriminalitätsindustrie zu schaffen, ist es besser, Unternehmen dazu zu zwingen, aus Backups wiederherzustellen, und den finanziellen Anreiz für das Verbrechen zu beseitigen
      Führungskräfte, die keine ordentlichen regelmäßigen Backups sichergestellt haben, sollten natürlich zur Verantwortung gezogen werden
    • Wer hätte gedacht, dass es eine gute Idee wäre, Teenagern Millionen Dollar in Kryptowährung zu geben
      Das Geld wird nur für mehr Exploits und mehr Unsinn ausgegeben, ein endloser Wettlauf nach unten. Die übergeordnete Gruppe von ShinyHunters, Lapsus$, hatte sogar auf ihrer Website gepostet, dass sie internen Zugang zu Firmennetzwerken kaufen wolle. Die Daten bräuchten sie gar nicht, sie wollten nur den Zugang
      Genau das passiert, wenn man Kriminellen weiterhin Millionen in schwer nachverfolgbarer Kryptowährung gibt
    • Ich verstehe nicht, warum solche Lösegeldzahlungen kein Verstoß gegen Geldwäschegesetze sein sollen. Es scheint ausgeschlossen, dass geprüft wurde, ob der Empfänger nicht sanktioniert ist oder keine Verbindung zu einer sanktionierten Organisation hat
    • Ist es in den USA wirklich illegal, an Entführer zu zahlen? Ich finde keine Quelle dafür, dass so ein Gesetz tatsächlich verabschiedet wurde
  • Es gibt viele gute Punkte zu Spieltheorie und ökonomischen Anreizen, aber es gibt noch einen wichtigeren und eigennützigen Punkt. Wenn man Lösegeld zahlt, stürzen sich Hacker zehnmal stärker auf einen
    Eine Lösegeldzahlung sendet drei Signale: Man ist angreifbar, man kann sich von einem Angriff nicht erholen, und man hat Bargeld. Das Ergebnis ist, dass man viel häufiger angegriffen wird. Ihr könnt fragen, woher ich das weiß, aber ich werde es euch nicht sagen
  • Einerseits ist es schlecht, weil jede Lösegeldzahlung ähnliche Leute dazu ermutigt, ein Ransomware-Geschäft zu gründen oder auszubauen
    Andererseits müssen Ransomware-Gruppen, die langfristig weiter Geschäfte machen wollen, in gewisser Weise „ehrlich“ sein, was das Veröffentlichen oder Löschen der Daten angeht. Sonst können sie keine glaubwürdigen Ransomware-Betreiber bleiben, was auf absurde Weise komisch ist. In vielen Fällen bevorzugen Opfer, dass Geld an den Ransomware-Betreiber geht, statt dass ihre Daten veröffentlicht werden. Deshalb kann die Zahlung für das aktuelle Opfer die beste Option sein, erhöht aber die Wahrscheinlichkeit künftiger Opfer
    Die Dynamik und Ökonomie von Ransomware ist interessant
    • Das ist immer die Spieltheorie von Lösegeld, ein klassisches Kollektivhandlungsproblem und eine Form des Gefangenendilemmas
      Für jedes einzelne Unternehmen ist es wahrscheinlich vorteilhaft zu zahlen, aber wenn niemand zahlt, stehen am Ende alle besser da
      Deshalb gibt es an Orten wie den USA eine offizielle No-Ransom-Politik und auch andere entsprechende Richtlinien. Wenn es keinen Mechanismus gibt, einzelne Opfer daran zu hindern zu zahlen, gibt es immer einen Anreiz in Richtung Zahlung, und Lösegeld bleibt profitabel
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • Ich weiß nicht, wie bedeutsam der Ruf von Angreifern wirklich ist. Sie können sich jederzeit unter neuem Namen rebranden. Es sind ohnehin anonyme Cyberkriminelle, und außer Reputationswäsche gibt es viele weitere Gründe, das zu tun
      Ob dieselben Leute nun einen „neuen“ Namen oder den bisherigen verwenden, aus Sicht des Opfers scheint das an der Rechnung wenig zu ändern, wenn das eigene System als Geisel genommen wurde
    • Lösegeldzahlungen sollten immer illegal sein, und gegen die Mitarbeiter, die die Zahlung genehmigt haben, sollte bundesstrafrechtlich Anklage erhoben werden. Selbst wenn dadurch Unternehmen untergehen oder Menschen sterben, wäre das aus meiner Sicht ein hinnehmbares Opfer
    • Wenn wir davon ausgehen, dass Ransomware weiter existiert und jederzeit alle Daten als Geisel genommen werden können, dann wird die Welt entsprechend dafür gestaltet werden
      Am Ende bekommen wir entweder eine Discworld-artige „Ransomware-Gilde“, die gegen „Versicherungsprämien“ diejenigen ausschaltet, die ohne Genehmigung Daten als Geisel nehmen, oder es entstehen auf Ende-zu-Ende-Verschlüsselung basierende Systeme, in denen Daten wertlos werden
    • Ich denke gelegentlich über die Idee des „wohlwollenden Terroristen“[0] nach, also jemandem, der einigen Menschen großen Schaden zufügt, um die Welt langfristig besser zu machen. Dunes Kwisatz Haderach ist dafür das Paradebeispiel, also nicht völlig originell, aber ich fand den Gedanken amüsant: Was wäre, wenn man ein Ransomware-Unternehmen betreibt, das nach Erhalt des Lösegelds seine Zusagen grundsätzlich nie einhält
      Man würde vielen Menschen schaden, aber je besser man sie imitiert und je konsequenter man nach Zahlung nicht wiederherstellt, desto eher könnte man Ransomware als Geschäftsmodell unbrauchbar machen. Was könnte da schon schiefgehen? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • Letztlich wirkt das wie Imagepflege-Verpackung um die Aussage „Wir haben Lösegeld gezahlt, aber keine Sorge, die Bösewichte haben uns versichert, dass alles in Ordnung ist“
    • Sie sagen, sie hätten eine „digitale Bestätigung der Datenvernichtung (shred logs)“ erhalten. Sollen Nutzer daraus wirklich schließen, dass die Hacker keinerlei Daten zurückbehalten haben?
    • Ich dachte, an Hacker Lösegeld zu zahlen sei illegal, aber offenbar ist es legal oder zumindest unklar. Soweit ich weiß, gibt es zumindest die Anforderung, dass das Unternehmen gemeinsam mit den Strafverfolgungsbehörden sicherstellen muss, dass das Lösegeld nicht an eine Hackergruppe geht, die auf einer staatlichen Sanktionsliste steht
      Mich würde auch die eigentliche Ursache des Angriffs interessieren. Ich habe online Gerüchte gesehen, dass es mit einer Schwachstelle in Salesforce Experience Cloud Sites zusammenhängen könnte, einem Muster, das ShinyHunters häufig nutzt, aber bestätigt ist das nicht. Sicher bestätigt ist nur, dass die Schwachstelle mit der Canvas-Funktion „Free-For-Teacher accounts“ zusammenhing
    • Wenn die Bösewichte nach Zahlung die Informationen doch wieder veröffentlichen, senken sie damit nicht nur ihre eigene Chance auf künftige Zahlungen, sondern auch die anderer Bösewichte
      Deshalb haben sogar andere Kriminelle einen Anreiz, diejenigen aufzuhalten, die nach Zahlung Informationen leaken

  • We received digital confirmation of data destruction (shred logs).
    Das ist eine erstaunlich naive Formulierung

    • Die Hacker haben einen Anreiz, die Daten wie versprochen zu vernichten. Wenn sich herumspricht, dass Daten trotz Lösegeldzahlung geleakt werden, wird künftig niemand mehr Lösegeld zahlen
      Natürlich verhindert das nicht, dass Hacker die Daten heimlich verkaufen und dann sagen: „Das waren nicht wir, sondern jemand anderes, der dieselben Daten bei einem anderen Hack erbeutet hat“
    • Nicht naiv, eher darauf gebaut, dass die Kunden naiv sind
    • Wie will man sicherstellen, dass sie nicht erst eine Kopie gemacht und dann nur eine einzige Kopie zerstört haben oder die shred logs schlicht gefälscht sind
    • Ich hoffe nur, dass es PR-Sprache zur Gesichtswahrung ist. Trotzdem sollten Unternehmen mit solchen Behauptungen aufhören
  • Ein gutes informationstechnisches Gemeinwohlprojekt wäre vielleicht eine öffentliche Liste von Organisationen, die Lösegeldforderungen nachgegeben haben, damit wir uns für andere entscheiden können
    Allerdings braucht es dafür auch Mut angesichts möglicher Verleumdungshaftung. Ich glaube nicht, dass Disclaimer viel gegen dieses Risiko helfen würden
    • Würdest du dann also dein Geschäft zu einem Anbieter verlagern, der gehackt wurde, aber kein Lösegeld gezahlt hat und deshalb Kundendaten offengelegt wurden?

  • The data was returned to us.
    So wie ich es verstehe, wurden die Daten kopiert[1]. Wenn die Originale nicht verschlüsselt oder gelöscht wurden, würde ich nicht sagen, dass die Daten „zurückgegeben“ wurden. Die Formulierung ist verwirrend, aber vielleicht branchenüblich
    Das ist bullisch für Monero[2]. Der Pump im Januar könnte auch durch Hacks verursacht worden sein[3]
    Auf der Website von ShinyHunters war Canvas kurz gelistet[4] und wurde dann wieder entfernt[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • Die Hacker dürften einen Anreiz haben, nichts zu leaken, wenn sie auch das nächste Lösegeld kassieren wollen
    • Das ist ein guter Zeitpunkt, um darauf hinzuweisen, dass bei Datenlecks Daten nur selten tatsächlich „gestohlen“ werden. Die eigentliche Bedrohung und der eigentliche Schaden entstehen erst dann, wenn die entwendeten Daten gegen einen verwendet werden
    • Die direkt folgende Zeile lautet:

      We received digital confirmation of data destruction (shred logs).
      Falls sie sie nicht gelöscht haben, wäre das nicht überraschend, aber vermutlich nennen sie es deshalb „zurückgegeben“. Nach ihrem Verständnis wurden die Daten „zurückgegeben“ und dann gelöscht

  • Langfristig frage ich mich, ob es nicht besser wäre, wenn ein solches Unternehmen nach einem Hack und einer bestechungsartigen Lösegeldzahlung auf die eine oder andere Weise scheitert
    Die Kosten eines Hacks sind meiner Meinung nach zu niedrig. Vor allem für das obere Management oder die Führungsebene ist das oft nur eine abstrakte Angelegenheit mit etwas Zeit- und Ressourcenaufwand
    • Ich habe noch nie ein Unternehmen erlebt, das eingeräumt hätte, dass ein Datenverstoß der Punkt war, an dem sein Niedergang begann
      Nach einem Vorfall laufen die Kunden auch nicht massenhaft weg. 7.000 Bildungseinrichtungen, unterfinanziert und überlastet, werden nicht auf einmal wechseln
      Deshalb kann man ziemlich sicher davon ausgehen, dass ein Datenverstoß keine dauerhaften Auswirkungen auf das Unternehmen hat. In ein paar Monaten ist das alles vergessen
  • Dass es von der ShinyHunters-Seite verschwunden ist und die Wiederherstellung so schnell ging, ließ mich das schon vermuten. Am meisten interessiert mich, wie viel gezahlt wurde
    Mir gefällt auch nicht, wie sie formulieren, dass die Daten sicher seien oder vernichtet wurden. Solche Versprechen wirken in solchen Fällen ziemlich fragwürdig
  • Wie wird so etwas buchhalterisch behandelt? Wie nennt man den Kostenposten? Kann ein Unternehmen einfach ohne nähere Erklärung einen großen Betrag an ein unbekanntes Kryptowährungskonto senden und das gegenüber den Steuerbehörden verbuchen?
    • Ich nehme an, das Lösegeld zahlt der Versicherer und ordnet die Zahlung einer laufenden Versicherungspolice zu. Welche steuerlichen Auswirkungen das hat, weiß ich nicht, ich komme nicht aus dem Finanz- oder Rechnungswesen
    • Vielleicht als „Datenwiederherstellung“?