Instructure, la empresa detrás de Canvas, paga rescate a hackers

 (insidehighered.com)
1 puntos por GN⁺ 6 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Instructure pagó un rescate al grupo ShinyHunters, que comprometió dos veces su sistema de gestión de aprendizaje Canvas, y llegó a un acuerdo de recuperación
  • La empresa afirmó que, como parte del acuerdo, los hackers devolvieron los datos comprometidos relacionados con unos 275 millones de usuarios de más de 8,800 instituciones
  • Instructure explicó que recibió shred logs como confirmación de destrucción de los datos y garantías de que sus clientes no sufrirán extorsión adicional
  • ShinyHunters advirtió sobre la filtración de nombres, correos electrónicos, ID de estudiantes y mensajes privados, mientras las interrupciones en Canvas obligaron a universidades a posponer exámenes y fechas de entrega
  • Cliff Steinhauer, de la National Cybersecurity Alliance, señaló que pagar rescates puede recompensar a los atacantes y aumentar el riesgo de exposición a largo plazo

El pago del rescate por parte de Instructure y la recuperación de Canvas

  • Instructure pagó un rescate a la organización de ciberdelincuentes que hackeó dos veces su sistema de gestión de aprendizaje Canvas durante la última semana y media
  • Según una actualización publicada por Instructure la noche del lunes, este acuerdo permitió que los hackers devolvieran los datos comprometidos relacionados con unos 275 millones de usuarios de más de 8,800 instituciones
  • Instructure recibió shred logs, una confirmación digital de la destrucción de los datos, y también obtuvo garantías de que, por este incidente, “los clientes de Instructure no serán extorsionados ni públicamente ni de ninguna otra manera”
  • Se indicó que este acuerdo cubre a “todos los clientes de Instructure afectados” y que los clientes individuales no “necesitan” contactar a ShinyHunters, el grupo de extorsión que comprometió Canvas dos veces y lo deshabilitó temporalmente
  • Instructure señaló que, aunque nunca hay certeza total al tratar con ciberdelincuentes, es importante tomar todas las medidas posibles bajo su control para dar a los clientes la mayor tranquilidad posible
  • La empresa sigue trabajando con firmas especializadas para apoyar el análisis forense, reforzar el entorno y revisar en conjunto los datos involucrados, y planea ofrecer actualizaciones conforme avancen estos trabajos

Las exigencias de ShinyHunters y la interrupción del servicio de Canvas

  • Instructure no reveló el monto del acuerdo, pero este se concretó un día antes de la fecha límite de rescate del 12 de mayo impuesta por ShinyHunters
  • ShinyHunters también ha sido vinculado con recientes brechas de datos en University of Pennsylvania, Princeton University y Harvard University
  • La intrusión de ShinyHunters en Canvas provocó una interrupción grave del servicio, y el grupo advirtió a Instructure que debía pagar si quería evitar la filtración de datos de usuarios, incluidos nombres, direcciones de correo electrónico y números de ID de estudiantes
  • En una carta de rescate publicada en Ransomware.live el 3 de mayo, ShinyHunters afirmó tener “miles de millones de mensajes privados entre estudiantes y profesores, y entre estudiantes”, además de conversaciones personales y otra información de identificación personal
  • Los hackers exigieron que Instructure se comunicara con ellos antes del 6 de mayo de 2026 y advirtieron que, de lo contrario, filtrarían los datos y causarían “molestos problemas digitales”
  • Instructure pareció no responder a esa exigencia, pero manejó el problema de seguridad y Canvas volvió a estar completamente operativo para el martes 5 de mayo
  • Sin embargo, el jueves los usuarios de Canvas volvieron a quedarse sin acceso a sus cuentas, y muchos de ellos, que se preparaban para exámenes finales y trabajos de cierre de semestre, solo vieron un mensaje de los hackers
  • En ese mensaje, los atacantes afirmaban que “ShinyHunters volvió a comprometer Instructure” y sostenían que la empresa no se había puesto en contacto con ellos y solo había aplicado un parche de seguridad
  • El mensaje exigía que las instituciones afectadas, si querían evitar la publicación de los datos, consultaran con una firma asesora en ciberseguridad y negociaran un acuerdo mediante contacto privado por TOX; además, fijaba como plazo el 12 de mayo tanto para las instituciones como para Instructure
  • En una carta de rescate publicada en RansomLook, ShinyHunters aseguró que Instructure no había entendido la situación ni había intentado negociar para impedir la divulgación de los datos, y que la suma exigida no era tan alta como se pensaba

La respuesta de las universidades y el cambio en la comunicación de Instructure

  • A medida que continuaban las fallas en Canvas, varias universidades pospusieron exámenes y fechas límite de proyectos finales mientras esperaban una solución
  • El CEO de Instructure, Steve Daly, reconoció en una actualización del sitio web de la empresa tras la segunda intrusión que la semana pasada intentó verificar cuidadosamente los hechos antes de hablar en público, pero que no logró equilibrarlo bien
  • Daly dijo: “Me concentré en verificar los hechos, y guardé silencio cuando ustedes necesitaban actualizaciones constantes”, y afirmó que eso cambiará en adelante
  • Después de eso, Instructure también parece haber iniciado comunicación con los hackers y el lunes por la tarde publicó en su sitio web que “todos los entornos de Canvas están disponibles”

Los riesgos de pagar un rescate

  • Cliff Steinhauer, director de seguridad de la información y participación de la National Cybersecurity Alliance, evaluó que pagar el rescate pudo haber resuelto el problema inmediato de Instructure, pero va en contra de los principios generales de respuesta en ciberseguridad
  • Steinhauer considera que pagar rescates puede crear “un peligroso ciclo de retroalimentación en el que los atacantes son recompensados de hecho por una intrusión exitosa”
  • Incluso si una organización cree que “resuelve” la crisis inmediata, esto puede reforzar los incentivos económicos de la ciberextorsión y enviar a los actores de amenazas la señal de que atacar grandes plataformas educativas o servicios críticos es rentable
  • Como advierten de manera constante las autoridades, él considera que pagar rescates incentiva más ataques en toda la industria y corre el riesgo de normalizar el pago mismo como una estrategia viable de respuesta a incidentes
  • Steinhauer también señaló que el acuerdo entre Instructure y ShinyHunters deja abiertas cuestiones de confianza y certeza
  • Incluso si los delincuentes afirman haber borrado los datos robados o entregan “pruebas” de destrucción, no existe una forma confiable de verificarlo, y en el pasado con frecuencia esos datos se han conservado, revendido o reutilizado en futuras extorsiones
  • Desde una perspectiva de riesgo, las organizaciones podrían estar cambiando una interrupción inmediata del servicio por un problema de exposición a largo plazo, que puede reaparecer meses o años después sin que quede una palanca adicional para evitarlo

Lecturas relacionadas

1 comentarios

 
GN⁺ 6 시간 전
Comentarios de Hacker News
  • Hace unos años, un funcionario del Departamento de Justicia asistió a una conferencia donde participó en una charla sobre este tema de pagar rescates
    Lo explicó como algo parecido a un rescate por secuestro. Si toman como rehén a un estadounidense, cada familia querrá pagar, pero como resultado surge toda una industria de secuestrar estadounidenses. Según explicó, el Congreso lo evitó al volver ilegal pagarles a los secuestradores, y al dejar de ser rentable, disminuyeron los secuestros de estadounidenses, aunque los europeos pasaron a ser el objetivo
    Su propuesta era empezar a advertir a los consultores de ciberseguridad y aseguradoras que suelen intervenir en estas situaciones que es muy probable que pagar a países sancionados ya sea ilegal y pueda ser objeto de investigación. Los primeros a quienes atrapen la pasarán muy mal, pero al final la industria cambiará de rumbo y atacará menos a las empresas estadounidenses
    • Ese es el camino correcto. En vez de crear una nueva industria criminal de ransomware pagando rescates, es mejor obligar a las empresas a restaurar desde respaldos y eliminar el incentivo económico del crimen
      Los ejecutivos que no hayan hecho respaldos periódicos como corresponde deberían rendir cuentas, por supuesto
    • ¿A quién se le pudo ocurrir que darles millones de dólares en cripto a adolescentes era una buena idea?
      Ese dinero solo se usa para explotar más vulnerabilidades y hacer más estupideces; es una carrera sin fin hacia abajo. Lapsus$, el grupo superior de ShinyHunters, incluso publicó en su sitio web que quería comprar acceso interno a redes corporativas. Decían que no necesitaban los datos, solo una vía de entrada
      Esto es lo que pasa cuando sigues dándoles millones de dólares a criminales en criptomonedas difíciles de rastrear
    • No entiendo por qué este tipo de pagos de rescate no violan las leyes contra el lavado de dinero. No parece que hayan verificado que el destinatario no esté sancionado ni vinculado con una organización sancionada
    • ¿De verdad es ilegal en Estados Unidos pagarles a secuestradores? No he encontrado evidencia de que esa ley realmente se haya aprobado
  • Hay muchas buenas observaciones sobre teoría de juegos e incentivos económicos, pero hay un punto más importante y de autodefensa: si pagas el rescate, los hackers se te van encima 10 veces más
    Pagar un rescate envía tres señales: eres vulnerable a ataques, no puedes recuperarte de un ataque y tienes efectivo. El resultado es que te atacan mucho más. Puedes preguntarme cómo lo sé, pero no te lo voy a decir
  • Por un lado, cada vez que se paga un rescate se alienta a gente similar a iniciar o expandir un negocio de ransomware, así que eso está mal
    Por otro lado, las bandas de ransomware que quieren seguir en el negocio tienen que ser “honestas” en el sentido de no publicar ni borrar los datos después. Es curiosamente gracioso que necesiten eso para seguir siendo operadores de ransomware confiables. En muchos casos, la víctima prefiere que el dinero termine en manos del operador de ransomware antes que ver filtrados sus datos. Así que para la víctima actual pagar puede ser lo mejor, pero aumenta la probabilidad de futuras víctimas
    La dinámica y la economía del ransomware son interesantes
    • Esa siempre es la teoría de juegos del rescate, una típica problema de acción colectiva y una forma de dilema del prisionero
      A cada empresa individual probablemente le convenga pagar, pero si nadie pagara, todos estarían mejor
      Por eso en lugares como Estados Unidos existe una política oficial de no pagar rescates, y hay otras políticas similares. Si no hay un mecanismo que obligue a cada víctima individual a no pagar, siempre habrá incentivos para hacerlo y el rescate seguirá siendo rentable
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • No sé qué tan significativa sea la reputación de los atacantes. Pueden cambiar de marca y reaparecer con otro nombre cuando quieran. Al fin y al cabo son ciberdelincuentes anónimos, y además de lavar su reputación tienen muchas razones para hacerlo
      Ya sea que las mismas personas usen un nombre “nuevo” o el de siempre, desde la perspectiva de la víctima no parece cambiar mucho el cálculo cuando tus sistemas están tomados como rehenes
    • Pagar rescates siempre debería ser ilegal, y el empleado que autorice el pago debería enfrentar cargos penales federales. Aunque eso implique que la empresa quiebre o que muera gente, lo considero un sacrificio aceptable
    • Si asumimos un mundo donde el ransomware sigue existiendo y todos los datos pueden ser tomados como rehenes en cualquier momento, terminaremos con un mundo diseñado para eso
      Eventualmente aparecerá una “gremio del ransomware” al estilo Discworld que cobre una “prima de seguro” y se encargue de quienes tomen datos como rehenes sin autorización, o bien se crearán sistemas basados en cifrado de extremo a extremo para que los datos pierdan valor
    • A veces pienso en la idea del “terrorista benevolente”[0], es decir, alguien que causa un gran daño a algunas personas para llegar a un mundo mejor. Kwisatz Haderach de Dune sería el ejemplo clásico, así que no es del todo original, pero me parecía divertida la idea de operar una empresa de ransomware que nunca cumple sus promesas después de cobrar el rescate
      Arruinarías a mucha gente, pero mientras mejor los imites y más consistentemente no restaures nada después de cobrar, al final podrías hacer imposible que el ransomware funcione como negocio. ¿Qué podría salir mal? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • Al final esto parece simplemente una operación de imagen envuelta de forma muy agresiva para decir “pagamos el rescate, pero no se preocupen porque los malos nos aseguraron que todo está bien”
    • Dijeron que recibieron una “confirmación digital de destrucción de datos (shred logs)”, ¿y con eso pretenden que los usuarios crean que los hackers no guardaron ni una copia?
    • Yo pensaba que pagarle un rescate a un hacker era ilegal, pero supongo que es legal o no está claro. Al menos tenía entendido que la empresa debe verificar junto con las autoridades que el dinero no vaya a un grupo de hackers incluido en listas de sanciones del gobierno
      También me interesa la causa raíz del ataque. Vi rumores en línea de que pudo estar relacionado con una vulnerabilidad en sitios de Salesforce Experience Cloud, un patrón que ShinyHunters usa con frecuencia, pero no se confirmó. Lo que sí se confirmó es que la vulnerabilidad estaba relacionada con la función “Free-For-Teacher accounts” de Canvas
    • Si los criminales que cobraron el dinero vuelven a publicar la información, reducen no solo la posibilidad de que ellos mismos cobren en el futuro, sino también la de otros criminales
      Así que incluso otros delincuentes tienen incentivos para frenar a quienes filtran la información después de cobrar

  • We received digital confirmation of data destruction (shred logs).
    Esto suena sorprendentemente ingenuo

    • Los hackers sí tienen incentivos para destruir los datos como prometieron. Si se vuelve normal que los datos se filtren incluso después de pagar el rescate, en el futuro nadie va a pagar
      Claro, eso no impide que vendan los datos por debajo del agua y luego digan “no fuimos nosotros, fue otra persona que consiguió los mismos datos en otro hackeo”
    • Más que ingenuo, parece que están apostando a que los clientes sean ingenuos
    • ¿Cómo garantizas que no copiaron los datos y solo destruyeron una de las copias, o incluso que simplemente falsificaron los registros de destrucción?
    • Solo espero que sea texto de relaciones públicas para salvar apariencias. Aun así, ojalá las empresas dejaran de hacer este tipo de afirmaciones
  • Un buen proyecto público de tecnología sería mantener una lista pública de organizaciones que cedieron a demandas de rescate, para que podamos elegir a otras
    Aunque también haría falta valentía ante la posible responsabilidad por difamación. No parece que un descargo de responsabilidad ayude demasiado a evitar ese riesgo
    • Entonces, ¿te cambiarías a una empresa que fue hackeada pero no pagó el rescate y por eso se filtraron los datos de sus clientes?

  • The data was returned to us.
    Según entiendo, los datos fueron copiados[1]. A menos que los originales hayan sido cifrados o borrados, no diría que los datos fueron “devueltos”. La expresión es confusa, aunque tal vez sea común en la industria
    Esto es alcista para Monero[2]. El pump de enero también pudo haber sido por hackeos[3]
    Canvas apareció en el sitio de ShinyHunters[4] y luego fue retirado[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • Los hackers probablemente tienen incentivos para no filtrar nada si quieren cobrar el siguiente rescate
    • Este es un buen momento para señalar que cuando hay filtraciones de datos, rara vez los datos son realmente “robados”. La amenaza y el daño reales aparecen cuando esos datos se usan en tu contra
    • La línea que sigue inmediatamente a esa cita es esta:

      We received digital confirmation of data destruction (shred logs).
      Si no los borraron, no sería sorprendente, pero supongo que por eso lo llaman “devueltos”. Según su versión, los datos fueron “devueltos” y luego destruidos

  • A largo plazo, me pregunto si sería mejor que una empresa así, después de ser hackeada y pagar un rescate con sabor a soborno, terminara quebrando de una forma u otra
    Me parece que el costo de sufrir un hackeo es demasiado bajo. Sobre todo para la alta dirección o la capa ejecutiva, se trata como algo abstracto con cierto costo de tiempo y recursos
    • Nunca he visto una empresa admitir que una filtración de datos fue el punto donde empezó su caída hacia la quiebra
      Tampoco hay un éxodo masivo de clientes después de una filtración. Y 7,000 instituciones educativas sin presupuesto y sobrecargadas no se van a mudar todas de golpe
      Así que es bastante seguro asumir que una filtración de datos no tiene efectos duraderos sobre la empresa. En unos meses todos se habrán olvidado
  • Como desapareció de la página de ShinyHunters y la recuperación fue demasiado rápida, ya me lo imaginaba. Lo que más me intriga es cuánto pagaron
    Tampoco me convence cómo hablan de que los datos están seguros o fueron destruidos. En incidentes así, ese tipo de promesas suenan bastante dudosas
  • ¿Cómo se contabiliza algo así? ¿Qué concepto le pones al gasto? ¿Una empresa puede enviar una suma grande a una cuenta desconocida de criptomonedas sin darle ninguna explicación a la autoridad fiscal?
    • Supongo que el rescate lo paga la aseguradora y que vincularán el pago con una póliza vigente. No sé qué implicaciones fiscales tenga; no soy de finanzas ni de contabilidad
    • ¿No sería algo como “recuperación de datos”?