Universiteit Maastricht

Universiteit Maastricht werkt aan oplossing voor Ransomware-aanval

Laatst bijgewerkt: 30 december 2019
Leestijd: 3 minuten, 16 seconden

De dag voor kerstavond werd Universiteit Maastricht getroffen door een ransomware-aanval. De meeste Windowssystemen van de Universiteit zijn geïnfecteerd. Hieronder vallen ook de emailservice, het bibliotheeksysteem en het studentenportaal. Het is nog onbekend of er ook databases met wetenschappelijk onderzoek zijn getroffen door de cyberaanval. De universiteit is nog opzoek naar een oplossing. Verder kondigt de universiteit aan dat ze hulplijnen zullen openen voor studenten en medewerkers die vragen hebben naar aanleiding van de gijzelsoftware-aanval.

De ontdekking van de ransomware-aanval

De Universiteit Maastricht (UM) werd op 23 december slachtoffer van een ransomware-aanval. Op 24 december meldt de UM dat ze zijn: “getroffen door een serieuze cyberaanval. Bijna alle Windows-systemen zijn geraakt en vooral e-mail kan niet worden gebruikt. Momenteel onderzoekt de UM oplossingen.”

Toen de aankondiging voor het eerst werd gedaan, was het niet zeker welke ransomware bij de aanval was gebruikt. Later op de dag bevestigde Fons Elbersen, een woordvoerder van de universiteit, dat het gaat om zogenaamde Clop ransomware.

Op 27 december heeft UM al zijn systemen uit voorzorg stilgelegd. Momenteel zijn alle systemen nog steeds offline.

Wat is Clop ransomware?

Clop werd voor het eerst ontdekt in februari 2019 en het evolueert nog altijd en wordt steeds schadelijker. Het verschil tussen Clop en andere ransomware is dat Clop zich richt op computernetwerken en niet alleen individuele computers aanvalt. Zodra Clop toegang krijgt tot een netwerk, versleutelt het bestanden waartoe het toegang heeft en voegt een .clop-extensie toe aan de bestandsnamen.

Om bij de bestanden te kunnen die door het Windows-systeem worden gebruikt, sluit Clop eerst Windows-processen af, inclusief Windows Defender. Naast andere toepassingen kan Clop ook Steam- en Microsoft Office-programma’s en verschillende browsers sluiten. Bovendien bevat Clop bestanden die gegevensherstel via schaduwkopieën of back-ups voorkomen. Clop verwijdert of versleutelt dergelijke back-ups en herformatteert verbonden back-upschijven.

Zodra de aanval is voltooid, plaatst Clop een leesmij-bestand op het netwerk met een losgeldbericht en contactgegevens voor betalingsinstructies. De criminelen zeggen dan de getroffen bestanden vrij te zullen geven zodra ze de betaling hebben ontvangen.

Data diefstal

Het is momenteel nog niet zeker of de wetenschappelijke onderzoeksgegevens van de universiteit zijn gestolen voordat de systemen werden versleuteld met Clop. De universiteit heeft echter verklaard dat de wetenschappelijke onderzoeksdatabases op een apart, extra veilig systeem worden bewaard. De universiteit onderzoekt momenteel of de aanvallers ook toegang hebben gekregen tot dit systeem, maar dit lijkt zeer onwaarschijnlijk.

Wanneer komt UM weer online?

De Universiteit Maastricht werkt nog steeds aan een oplossing voor deze cyberaanval. Als onderdeel van haar onderzoek heeft de UM gesprekken gevoerd met de Universiteit Antwerpen in België. Omdat deze universiteit in oktober 2019 ook werd getroffen door Clop, hoopt de UM dat zij kunnen helpen bij een mogelijke oplossingen.

In de hoop de impact van de aanval op studenten en personeel te minimaliseren, heeft UM een groot team van ICT-medewerkers die 24 uur per dag werken aan het vinden van een oplossing. Het Nederlandse cyberbeveiligingsbedrijf Fox-IT ondersteunt de ICT-medewerkers van UM.

De UM streeft ernaar de meeste van haar systemen weer online te hebben tegen 6 januari, zodat iedereen na de kerstvakantie weer aan het werk kan. Toch is het nog onzeker of dit ook zal lukken.

Onderhandelen met criminelen

De universiteit geeft aan dat ze in gesprek zijn met de aanvallers. Het is niet bekend hoeveel losgeld de hackers vragen en ook zegt de UM niet of ze overwegen te betalen. Tot slot geeft de universiteit aan dat zij de aanval hebben gemeld bij de juiste instanties. Momenteel vraagt de universiteit aan medewerkers en studenten om vooral niet aan de systemen te komen. Dit zou een risico kunnen vormen voor eventuele herstelwerkzaamheden.

Gegevens beschermen tegen Clop

Er is geen klipklare oplossing voor slachtoffers van Clop ransomware. De beste manier om gegevens tegen Clop te beschermen, is om back-ups te maken op externe back-upschijven. Bovendien kan het installeren van een bijgewerkt en effectief beveiligingsprogramma een Clop-ransomware-aanval voorkomen.

Ransomware neemt toe en onderwijsinstellingen, evenals overheden en zorginstellingen, zijn steeds vaker het doelwit.

Hoofdauteur:

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen