Chuyên gia an ninh mạng hoài nghi tuyên bố xóa dữ liệu của nhóm hacker tấn công nền tảng Canvas

Chuyên gia an ninh mạng hoài nghi tuyên bố xóa dữ liệu của nhóm hacker tấn công nền tảng Canvas

Khi Instructure, công ty mẹ của nền tảng học tập trực tuyến nổi tiếng Canvas, tuyên bố tuần này rằng họ đã "đạt được thỏa thuận" với nhóm tội phạm ShinyHunters, gã khổng lồ công nghệ giáo dục này đã cố gắng trấn an người dùng. Sau khi tin tặc tuyên bố đã đánh cắp dữ liệu của 275 triệu sinh viên, giáo viên và nhân viên, Instructure khẳng định các cuộc trò chuyện riêng tư và địa chỉ email của họ sẽ không xuất hiện trên các chợ đen dark web và họ sẽ không bị tống tiền vì vụ việc này.

"Chúng tôi đã nhận được xác nhận kỹ thuật số về việc dữ liệu đã bị hủy (nhật ký xóa dữ liệu)," Instructure đảm bảo với gần 9.000 trường đại học và trường học K-12 bị ảnh hưởng. "Chúng tôi được thông báo rằng không có khách hàng nào của Instructure bị tống tiền kết quả từ sự cố này, công khai hay theo cách khác."

Tuy nhiên, không một chuyên gia nào mà The Register phỏng vấn tin rằng điều này là sự thật.

"Tôi có tin rằng họ đã xóa dữ liệu không? Không. Họ là những kẻ tội phạm và khốn nạn," Allan Liska, nhà phân tích tình báo mối đe dọa tại Recorded Future, còn được gọi là Ransomware Sommelier, chia sẻ.

Nhưng đây là một phần của những gì Max Smeets gọi là 'Nghịch lý Niềm tin Ransomware'," ông thêm vào. "Các nhóm ransomware tối thiểu phải không đăng tải dữ liệu mà họ tuyên bố đã xóa, nếu không sẽ không ai trả tiền cho họ trong tương lai, nhưng điều này được thực hiện với sự hiểu biết rằng dữ liệu có khả năng không bị xóa."

Cynthia Kaiser, Phó chủ tịch Trung tâm Nghiên cứu Ransomware Halcyon, người từng dành hai thập kỷ làm việc tại FBI, cho biết bà không nghĩ rằng bất kỳ ai nghiên cứu hoạt động của các nhóm ransomware cũng tin rằng băng đảng thực sự đã phá hủy các tệp bị đánh cắp.

"'Chúng tôi đã xóa dữ liệu' là một câu nói tiêu chuẩn của các nhóm tống tiền sau khi tiền chuộc được thanh toán hoặc đàm phán kết thúc, nhưng lần lượt thời gian đã chứng minh điều đó là sai sự thật," Kaiser nói với The Register. "Đặc biệt, ShinyHunters có lịch sử được ghi nhận về việc tái sử dụng, bán lại và khai thác lại dữ liệu bị đánh cắp qua các chiến dịch khác nhau – dữ liệu mà họ tuyên bố đã được kiểm soát từ các vụ xâm nhập trước đó đã xuất hiện trở lại trên các diễn đàn tội phạm hàng tháng hoặc thậm chí nhiều năm sau đó."

Kaiser cũng không nghĩ đây là mối đe dọa cuối cùng mà các trường học phải đối mặt từ vụ breach của Canvas.

"Halcyon dự đoán sẽ có các làn sóng phishing nhắm mục tiêu vào nhân viên, sinh viên và phụ huynh trong 6 đến 12 tháng tới, sử dụng tên, địa chỉ email và ngữ cảnh trò chuyện của Canvas bị rò rỉ để làm cho các mồi nhử thuyết phục hơn," bà nói.

Cần làm rõ rằng: Các giám đốc điều hành của Instructure chưa bao giờ trực tiếp nói rằng công ty đã trả tiền chuộc, và chúng ta không biết chính xác số tiền mà những kẻ tội phạm đã yêu cầu từ doanh nghiệp học tập kỹ thuật số này. Tuy nhiên, chúng ta biết rằng "đạt được thỏa thuận" là ngôn ngữ doanh nghiệp để nói rằng nạn nhân đã trả tiền.

Doug Thompson, kiến trúc sư trưởng giáo dục tại công ty an ninh mạng Tanium, ước tính con số này nằm ở đâu đó giữa 5 triệu USD và 30 triệu USD.

Trong khi đó, cuộc tấn công tống tiền mới nhất này minh họa cho sự lựa chọn bất khả thi đối với các tổ chức được giao nhiệm vụ bảo vệ dữ liệu của mọi người khi những tên trộm kỹ thuật số xâm nhập vào mạng của họ và đánh cắp thông tin nhạy cảm.

"FBI nói đừng trả tiền," Thompson nói với The Register. "Nhưng thực tế vận hành lúc 3 giờ sáng trong tuần thi cuối kỳ hoặc mùa tuyển sinh có thể đẩy các cơ sở hướng đến một sự tính toán hoàn toàn khác. Cho đến khi cấu trúc khuyến khích này thay đổi, giáo dục có khả năng vẫn sẽ đặc biệt dễ bị tổn thương trước áp lực tống tiền."

Trả hay không trả tiền?

Chính phủ liên bang Mỹ, các cơ quan thực thi pháp luật và các nhà phân tích tình báo mối đe dọa của khu vực tư nhân đều khuyên nạn nhân không nên trả tiền chuộc.

"Việc trả tiền chuộc thưởng cho và khuyến khích tội phạm, tài trợ cho việc tìm kiếm nạn nhân mới của họ, và tôi đã lâu ủng hộ việc cấm các khoản thanh toán ransomware," chuyên gia phân tích mối đe dọa tại Emsisoft Luke Connolly cho biết. "Nhưng trong sự vắng mặt của các quy định áp dụng cho tất cả các tổ chức, thực tế phũ phàng là Instructure đã đối mặt với một cuộc khủng hoảng, và họ đã đàm phán để cố gắng giảm thiểu rủi ro và thiệt hại."

Không công ty nào muốn trả tiền chuộc cho những kẻ tấn công mình, và hầu hết đều nói rằng họ sẽ không – ít nhất là về nguyên tắc – vì họ không muốn tài trợ cho các hoạt động tội phạm và khuyến khích những tên trộm. Ngoài ra, không có sự đảm bảo nào rằng việc trả tiền sẽ đảm bảo việc trả lại dữ liệu của họ hoặc ngăn chặn các nỗ lực tống tiền thêm. CrowdStrike đã khảo sát 1.100 lãnh đạo bảo mật toàn cầu vào mùa hè năm ngoái, và trong số 78% người nói rằng họ đã trải qua cuộc tấn công ransomware trong năm qua, 83% trong số những người đã trả tiền chuộc đã bị tấn công một lần nữa. Hơn nữa, 93% đã mất dữ liệu bất kể việc thanh toán.

Mặc dù dữ liệu cho thấy ít tổ chức hơn đang trả lời các yêu cầu tiền chuộc của tội phạm – Chainalysis phát hiện tỷ lệ nạn nhân trả tiền vào năm 2025 giảm xuống mức thấp kỷ lục là 28%, bất chấp các cuộc tấn công đạt mức cao kỷ lục – nhưng khi đối mặt với sự tống tiền hoặc nhiễm ransomware, cuộc tranh luận "trả hay không trả" trở nên phức tạp hơn nhiều.

"Hầu hết các tổ chức vẫn nói công khai rằng họ sẽ không trả tiền, và nhiều người thực sự không trả, nhưng khi lựa chọn thay thế là gây thiệt hại hàng loạt cho sinh viên, phụ huynh và hàng ngàn cơ sở khách hàng, sự tính toán sẽ thay đổi," Kaiser nói. "Các nhóm trả tiền hoặc rò rỉ như ShinyHunters cụ thể thiết kế sự tính toán đó bằng cách tạo ra áp lực tài chính và danh tiếng khốc liệt, và khi các yêu cầu không được đáp ứng, chúng leo thang thành việc quấy rối trực tiếp các công ty nạn nhân, nhân viên và khách hàng."

ShinyHunters đã làm đúng điều đó. Nhóm này ban đầu xâm nhập Instructure vào cuối tháng 4, và sau khi hạn chót trả tiền hoặc rò rỉ ban đầu trôi qua vào ngày 6 tháng 5, ShinyHunters đã chuyển chiến thuật sang tống tiền từng trường học. Họ đã chèn thông báo tiền chuộc vào khoảng 330 cổng đăng nhập trường học Canvas, khiến Instructure phải đưa nền tảng ngoại tuyến trong một ngày – vào thời điểm thi cuối kỳ và thi Nâng cao (Advanced Placement) đối với nhiều trường. Những kẻ scum ransomware khác đã đi đến những cực đon kinh hoàng, đăng ảnh và địa chỉ của trẻ mầm non để cố gắng kiếm tiền, rò rỉ ảnh nude của bệnh nhân ung thư và đe dọa họ với các cuộc tấn công swatting.

Charles Carmakal, CTO của Mandiant Consulting, trước đây đã nói với The Register rằng các nhiễm ransomware đã biến thành "các cuộc tấn công tâm lý" với những kẻ tội phạm thực hiện SIM swap cho con cái của các giám đốc điều hành để gây áp lực lên cha mẹ chúng trả tiền.

Tính toán rủi ro

Ngoài việc phản hồi việc tội phạm quấy rối trực tiếp sinh viên, bệnh nhân, khách hàng và nhân viên của mình, các tổ chức nạn nhân cũng phải tính đến các vụ kiện tụng tiềm năng nếu những kẻ tội phạm đổ dữ liệu cá nhân hoặc sức khỏe của cá nhân ra ngoài, cũng như cú đánh danh tiếng khi thấy tất cả thông tin được bảo vệ này được công khai trực tuyến.

Quyết định về việc làm gì trong cuộc tấn công ransomware xoay quanh việc giảm thiểu rủi ro, Liska nói.

"Không trả tiền chuộc có nghĩa là tăng rủi ro lộ dữ liệu, trong trường hợp này có thể gây ra thiệt hại nghiêm trọng," ông nói. "Mặc dù không có quyết định tốt nào trong hầu hết các cuộc đàm phán ransomware, ý tưởng là bảo vệ càng nhiều người càng tốt và điều đó có thể có nghĩa là trả tiền là lựa chọn ít tồi tệ nhất."

Mặc dù ông không phản hồi hay điều tra vụ việc của Instructure, "việc bảo vệ dữ liệu của trẻ em chắc chắn là một yếu tố quan trọng trong các loại quyết định này, đặc biệt là khi các cuộc tấn công bắt nguồn từ một trong các nhóm liên kết với The Com," Liska thêm vào. The Com, một nhóm lỏng lẻo chủ yếu gồm người nói tiếng Anh, những người cũng tham gia vào một số mạng lưới hacker, người swap SIM và những kẻ tống tiền liên kết với nhau như ShinyHunters và Scattered Lapsus$ Hunters, được biết đến là tống tiền trẻ em và thanh thiếu niên để thực hiện các hành vi phạm pháp trong đời thực như bắn người, đâm người và các hành vi phạm tội khác. "Các nhóm này được biết đến là ép buộc nạn nhân bằng các đe dọa gây hại vật lý, bao gồm làm hỏng thiết bị và swatting," ông nói. "Không trả tiền có thể đã làm tăng rủi ro gây hại nghiêm trọng cho những đứa trẻ có dữ liệu bị lộ."

Ngành giáo dục 'dễ trả tiền hơn'

Sự xâm nhập của Instructure theo sau một số cuộc tấn công nổi tiếng khác đối với các nhà cung cấp phần mềm giáo dục.

Vào tháng 12 năm 2024, PowerSchool đã bị breach, ảnh hưởng đến hàng chục triệu sinh viên. Công ty reportedly đã trả khoảng 2,85 triệu USD bitcoin để đổi lấy một video supposedly cho thấy những kẻ tấn công đang phá hủy dữ liệu. Nhưng khoảng năm tháng sau, vào tháng 5 năm 2025, các khách hàng quận trường học của nhà cung cấp ed-tech này đã nhận được các mối đe dọa tống tiền cá nhân từ cùng một nhóm ransomware đã đánh PowerSchool hoặc ai đó liên kết với những kẻ tội phạm đó.

Đầu năm nay, ShinyHunters tuyên bố đã đánh cắp dữ liệu từ nhà cung cấp phần mềm K-12 Infinite Campus như một phần của làn sóng xâm nhập liên quan đến Salesforce rộng lớn hơn.

"Giáo dục tiếp tục nổi lên là một trong những lĩnh vực mà các tổ chức vẫn có khả năng trả tiền dưới áp lực hơn," Thompson nói.

Ngoài dữ liệu của sinh viên – đặc biệt là trẻ vị thành niên – chứa các chi tiết cá nhân nhạy cảm cao, và do đó trình bày một mục tiêu hấp dẫn cho những kẻ tấn công, điều này cũng được thúc đẩy một phần bởi áp lực thị trường và kinh tế.

Việc chuyển đổi hệ thống quản lý học tập tốn kém và bất tiện đối với các trường học, và họ thường bị khóa vào các hợp đồng nhiều năm với các nhà cung cấp phần mềm này, theo Thompson.

"Vấn đề khác là sự tập trung," ông nói. "Một số tương đối nhỏ các nhà cung cấp nắm giữ dữ liệu cho các phần khổng lồ của hệ thống giáo dục. PowerSchool, Infinite Campus, Canvas, Blackboard; bốn công ty đó nắm giữ hồ sơ về gần như mọi học sinh Mỹ, và những kẻ hacker biết điều đó. Ba trong số bốn công ty đã bị breach ở quy mô hàng triệu bản ghi trong 18 tháng qua."

Thompson nói ông dự kiến sẽ thấy các cuộc tấn công bổ sung nhắm vào các nền tảng giáo dục lớn trong tương lai.

"Kinh tế là tốt. Instructure đã trả tiền. PowerSchool đã trả tiền năm ngoái. Ban giám đốc của mọi nhà cung cấp ed-tech khác vừa có một cuộc trò chuyện về con số của họ sẽ là bao nhiêu," ông nói. "Mô hình đã được thiết lập."

Theo Connolly, các trường đại học và trường học K-12 bị ảnh hưởng bởi vụ hack Canvas không nên coi dữ liệu của họ là an toàn, bất kể sự đảm bảo của Instructure hay lời hứa xóa dữ liệu của những kẻ tội phạm. "Sẽ có các cuộc tấn công trong tương lai, chắc chắn rồi."