Die Verunstaltung der Anmeldeseiten geht laut BleepingComputer auf eine Schwachstelle in den Systemen von Instructure zurück, die es den Angreifern erlaubte, die Login-Portale zu verändern. Betroffen waren demnach rund 330 Bildungseinrichtungen, deren Standard-Login-Seiten durch die Erpresserbotschaft ersetzt wurden.

In der Nachricht wirft ShinyHunters dem Unternehmen vor, nicht auf eine Kontaktaufnahme reagiert, sondern stattdessen „Sicherheitspatches“ eingespielt zu haben. „ShinyHunters hat Instructure (erneut) kompromittiert. Anstatt uns zur Lösung zu kontaktieren, haben sie uns ignoriert und einige ‚Sicherheitspatches‘ vorgenommen“, heißt es darin. Schulen, die eine Veröffentlichung ihrer Daten verhindern wollten, sollten eine Cyber-Beratungsfirma hinzuziehen und die Gruppe privat über TOX kontaktieren; bis zum Ende des 12. Mai 2026 bleibe Zeit, bevor alles geleakt werde.

Bereits zuvor hatte Instructure mitgeteilt, einen Cyberangriff zu untersuchen, nachdem Angreifer behauptet hatten, 280 Millionen Datensätze von Studierenden und Mitarbeitenden erbeutet zu haben. Diese stünden mit 8.809 Schulen, Universitäten und Bildungsplattformen in Verbindung, die das Lernmanagementsystem Canvas nutzen. ShinyHunters teilte BleepingComputer später mit, die gestohlenen Daten umfassten Nutzerdatensätze, private Nachrichten, Einschreibedaten und weitere Informationen, die angeblich über Canvas-Exportfunktionen und APIs gesammelt worden seien. Instructure bestätigte den Datendiebstahl, untersucht den Vorfall aber weiter.

BleepingComputer hat Instructure nach eigenen Angaben wiederholt mit Fragen zu dem Angriff kontaktiert, auch zu der Frage, ob Studierende und Mitarbeitende über den Datenabfluss informiert werden sollen. Die Anfragen blieben bislang unbeantwortet.

Der Name ShinyHunters wird seit 2018 mit zahlreichen Akteuren in Verbindung gebracht, die Datendiebstähle durchführen. In diesem Jahr zählen unter diesem Namen agierende Angreifer zu den aktivsten Gruppen bei Datendiebstahl und Erpressung weltweit. Sie konzentrieren sich vor allem auf Salesforce und andere Cloud-SaaS-Umgebungen und werden mit Einbrüchen bei Unternehmen wie Google, Cisco, PornHub und dem Dating-Konzern Match Group in Verbindung gebracht.

Typischerweise kompromittiert die Gruppe Drittanbieter für Integrationen und nutzt gestohlene Authentifizierungstoken, um auf verbundene SaaS-Umgebungen zuzugreifen und Kundendaten zu entwenden. Bekannt ist sie zudem für Voice-Phishing (Vishing) gegen Single-Sign-on-Konten bei Okta, Microsoft und Google, bei dem sich die Täter als IT-Support ausgeben, um Beschäftigte zur Eingabe von Zugangsdaten und MFA-Codes auf Phishing-Seiten zu verleiten. Wie BleepingComputer zuerst berichtete, setzt die Gruppe inzwischen auch sogenannte Device-Code-Vishing-Angriffe ein, um Microsoft-Entra-Authentifizierungstoken zu erlangen. Mit gekaperten SSO-Konten dringt sie anschließend in angebundene Unternehmensdienste wie Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk und Dropbox ein.

ShinyHunters tritt zudem als Erpressung-as-a-Service-Gruppe auf und führt Erpressungen im Auftrag anderer Akteure gegen einen Anteil an den Lösegeldzahlungen durch. Im Zusammenhang mit dem Namen gab es bereits mehrere Festnahmen, darunter Verdächtige mit Bezug zu den Snowflake-Datendiebstählen, zu Einbrüchen bei PowerSchool und zum Betrieb des Hackerforums Breached v2. Dennoch erhalten Unternehmen weiterhin Erpresser-E-Mails mit der Signatur „Wir sind ShinyHunters.“