'PAGUE OU VAZE': Hackers atacam grande fornecedor de serviços para o ensino superior

O setor de ensino superior recebeu mais um lembrete no fim de semana de que continua sendo um alvo principal para os cibercriminosos. Hackers que roubaram dados da Ticketmaster, do Google e de diversas universidades renomadas começaram o mês de maio invadindo a Instructure; a empresa de tecnologia educacional é proprietária do Canvas, o sistema de gestão de aprendizagem mais popular do país, usado por 41% das instituições de ensino superior da América do Norte para ministrar cursos.
'PAGUE OU VAZE'

O grupo criminoso de extorsão ShinyHunters — que também foi associado a recentes violações de dados na Universidade da Pensilvânia e nas Universidades de Princeton e Harvard — afirmou que seu ataque à Instructure afetou quase 9.000 escolas em todo o mundo (incluindo uma mistura de instituições de ensino fundamental, médio e superior) e comprometeu as informações de identificação pessoal de 275 milhões de pessoas, incluindo alunos, professores e funcionários.

Embora a Instructure afirme ter contido o ataque, especialistas dizem que isso demonstra o valor agregado que os cibercriminosos enxergam em atacar fornecedores terceirizados em vez de instituições individuais. “Essa violação segue um padrão claro que temos observado nos últimos 18 meses”, disse Doug Thompson, arquiteto-chefe de educação e diretor de engenharia de soluções da Tanium, uma empresa de gestão de cibersegurança. “Em vez de visar campi individuais, os invasores estão subindo na cadeia de suprimentos de dados até as plataformas que sustentam milhares de instituições simultaneamente.”

Esta não é a primeira vez que o grupo ShinyHunters ataca fornecedores de tecnologia educacional. No outono passado, hackers ligados ao grupo invadiram o Salesforce e reivindicaram o roubo de cerca de um bilhão de registros de clientes em dezenas de empresas — incluindo a Instructure, que possui 8.000 instituições parceiras. Em março, o ShinyHunters se infiltrou no Infinite Campus , um sistema de informações estudantis amplamente utilizado para alunos do ensino fundamental e médio. E em abril, reivindicou a autoria do acesso a dados internos da editora McGraw Hill .

“É a matemática de um ladrão de banco que acabou de descobrir onde o carro-forte para. Por que assaltar cem agências se o carro-forte visita todas elas? O verdadeiro risco agora está nas etapas seguintes”, disse Thompson. “Com acesso a nomes reais, endereços de e-mail e até mensagens entre professores e alunos, a próxima onda de phishing não será genérica. Ela fará referência a cursos e conversas reais, o que aumenta muito a probabilidade de sucesso.”

Não está claro exatamente como o grupo ShinyHunters invadiu a Instructure, mas no final da semana passada, usuários do Canvas começaram a relatar interrupções em suas chaves de autenticação. E logo depois, a Instructure recebeu uma mensagem do ShinyHunters: “PAGUEM OU VAZEM”.

Caso a Instructure não pagasse o resgate, poderia haver um vazamento de “vários bilhões de mensagens privadas entre alunos, professores e outros alunos envolvidos, contendo conversas pessoais e outras [informações de identificação pessoal]”, escreveram os ShinyHunters em uma carta de resgate publicada em 3 de maio pelo site Ransomware.live , que rastreia e monitora as vítimas de grupos de ransomware e suas atividades. Os hackers disseram à Instructure para “entrar em contato até 6 de maio de 2026 antes que vazemos as informações, juntamente com vários problemas [digitais] irritantes que surgirão”, alertando a empresa para “tomar a decisão certa” para evitar se tornar “a próxima manchete”.

Embora a Instructure não tenha respondido aos pedidos de comentários do Inside Higher Ed sobre o resgate e outras questões específicas sobre o ataque, a empresa indicou um registro de atualizações de status elaborado por Steve Proud, diretor de segurança da informação da Instructure. Na sexta-feira, Proud confirmou que a violação foi "perpetrada por um agente criminoso" e afirmou que a empresa estava "investigando ativamente o incidente com a ajuda de especialistas forenses externos".

No dia seguinte, Proud escreveu que a Instructure acreditava ter contido o ataque e que havia tomado medidas para revogar credenciais privilegiadas e tokens de acesso associados aos sistemas afetados, implementado patches para aprimorar a segurança do sistema, rotacionado certas chaves — “embora não haja evidências de que tenham sido usadas indevidamente” — e implementado um monitoramento mais rigoroso em todas as plataformas.