website UM

De Universiteit van Maastricht betaalde bijna 200.000 euro losgeld aan hackers

Laatst bijgewerkt: 9 juli 2020
Leestijd: 3 minuten, 36 seconden

De Universiteit van Maastricht organiseerde woensdag een symposium over de cyberaanval die hen eind december 2019 trof. De Universiteit lichtte toe wat er zich rond de jaarwisseling afspeelde en er werd verder over cyber-gerelateerde kwesties gesproken. De universiteit onthulde ook dat het de hackers 30 bitcoin aan losgeld heeft betaald, dit komt neer op bijna 200.000 euro.

De ransomware-aanval

Op 23 december 2019 werd de Universiteit van Maastricht (UM) het slachtoffer van een ransomware-aanval. Alle systemen van de universiteit waren vergrendeld door de hackers. De volgende dag heeft de UM de hulp ingeroepen van het cyberbeveiligingsbedrijf Fox-IT om de cyberaanval aan te pakken. Fox-IT assisteerde bij crisisbeheer, het in kaart brengen van de aanval en het uitvoeren van forensisch onderzoek. Ze hebben de universiteit ook geadviseerd tijdens het herstelproces.

Symposium over cyberaanvallen

Gisteren organiseerde de universiteit een symposium, alleen toegankelijk voor genodigden. Andere geïnteresseerde partijen konden een livestream volgen, die vanaf vanmiddag ook terug te kijken zal zijn. Vanwege de complexiteit van het onderwerp en het feit dat alleen Nederlandse media aanwezig waren, werd het symposium in het Nederlands gehouden.

De vice-president van de universiteit, Nick Bos, maakte bekend wat de universiteit wist van de hack. De eerste inbreuk was het gevolg van het feit dat een niet-geïdentificeerde medewerker een maand eerder op een phishing e-mail had geklikt.

Begin januari zei de universiteit dat nadat het onderzoek naar de hack was voltooid, het ‘alles wat werd ontdekt’ zou delen met zusterinstituten en andere geïnteresseerde partijen, zoals detectiebureaus en cybersecuritybedrijven. Het rapport van Fox-IT is dan ook op de website van de universiteit te downloaden.

Losgeld betaald

Tijdens het symposium onthulde Nick Bos ook dat de universiteit had besloten het losgeld te betalen, na zorgvuldig de alternatieven te hebben overwogen. Wanneer ze niet hadden betaald hadden ze het volledige IT-netwerk opnieuw op moeten bouwen. Dit zou erg veel schade aan hebben gebracht aan het werk van studenten en medewerkers en tevens had veel werk dan langer stilgelegen.

Het losgeld van 30 bitcoin, ter waarde van 197.000 euro, werd betaald door de universiteit. Na betaling gaven de hackers cyberexperts van de universiteit de sleutel om hun systeemtoegang terug te krijgen.

Vijf weken na de aanval is het werk voor de meeste medewerkers bijna weer normaal. Studenten kunnen lessen volgen, examens afleggen, toegang krijgen tot de online bibliotheek en meer. Op 27 januari 2020 was de toegang tot het Virtual Private Network (VPN) ook hersteld, maar alleen voor werknemers.

Les geleerd

Cybersecuritybedrijf Fox-IT heeft de universiteit geholpen bij het herstellen en analyseren van wat er is gebeurd. Op 5 februari 2019 publiceerde Fox-IT hun rapport over Project Fontana, de naam die ze aan hun onderzoek gaven. De Universiteit van Maastricht heeft het rapport openbaar gemaakt in de hoop dat dit zal helpen de digitale veiligheid en het bewustzijn te vergroten. In het rapport staan onder andere verschillende aandachtspunten voor de cybersecurity van de universiteit. Enkele conclusies waren dat ze willen zorgen voor:

  • Een beter bewustzijn en een betere afhandeling van phishing e-mails;
  • Passende technische maatregelen, zoals ervoor zorgen dat software is gepatcht met de nieuwste updates, de segmentering van het Windows-domein is verbetert en er een 24/7 bewakingssysteem komt;
  • Een database voor configuratiebeheer;
  • Dubbele back-ups, zowel online als offline, om het scenario van een totale uitval te voorkomen.

Fox-IT identificeerde de hackers als TA505, een Russisch sprekende criminele groep die ook bekend staat als Grace-RAT. Deze groep heeft sinds 2014 tal van grote financiële en andere instellingen aangevallen.

Update (juli 2020): de Inspectie van het Onderwijs heeft onderzoek uitgevoerd naar de ransomware-aanval op de Maastricht Universiteit. De centrale vraag van het onderzoek was of de onderwijsinstelling voor, tijdens en na de aanval passende maatregelen had getroffen. De Inspectie concludeert dat de universiteit niet was voorbereid op een cyberaanval. Ze besteedde weliswaar volop aandacht aan informatiebeveiliging, maar deze was gericht op naleving van de Europese privacywet, de AVG.

Bij de afhandeling van de crisis heeft de Universiteit Maastricht adequaat ingegrepen en alles gedaan wat in haar macht lag om een einde te maken aan de aanval. De universiteit huurde een extern team in om de IT-systemen 24/7 te monitoren, bracht de gehele centrale en decentrale IT-infrastructuur in kaart en scherpte ze diverse preventieve maatregelen aan. De Inspectie heeft dan ook geen verbeter- en aandachtspunten geformuleerd voor de Universiteit Maastricht. Of het allemaal voldoende is om herhaling in de toekomst te voorkomen, zal moeten blijken in de praktijk.

Tech-journaliste
Tove is reeds sinds 2017 als cybersecurity-redacteur betrokken bij VPNgids. Sinds 2019 is zij tevens coördinator voor het cybersecurity-nieuws dat op de website verschijnt.

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen