Maastricht University bevestigt: losgeld betaald bij aanval

De universiteit bevestigt daarmee eerdere berichtgeving van de onafhankelijke universiteitskrant Observant en de Volkskrant, die ieder al van ingewijden te horen kregen dat er losgeld betaald was. Tot op heden had de universiteit dat niet bevestigd. Tijdens een symposium over de aanval kwam daar verandering in.

De Maastricht University werd eind december het slachtoffer van een ransomware-aanval. Als gevolg daarvan lagen het e-mailverkeer en de meeste Windows-systemen plat. Ook waren diverse websites niet bereikbaar. 

Enkele dagen na de aanval besloot de universiteit om losgeld te betalen. De reden daarvoor was dat de backups van de systemen ook versleuteld waren. Daardoor konden deze niet teruggezet worden en zouden onder meer onderzoeksgegevens verloren gaan.

Hackers al in oktober binnen

De universiteit en beveiligingsbedrijf Fox-IT, dat ondersteuning bood na de aanval, maakten verder bekend dat de hackers al in oktober binnen waren gedrongen in de systemen van het onderwijsinstituut. De aanval begon op 15 oktober met een phishingaanval, waarmee de aanvallers toegang kregen tot een eerste laptop.

Die phishing-aanvallen werden door een aantal mensen op de universiteit als zodanig herkend. Twee van hen maakten hier volgens Michiel Borgers, CIO bij de Maastricht University, melding van bij de servicedesk. “Maar de professionaliteit van de aanvallers was zodanig dat er twee verschillende links in de aanval werden gebruikt. De organisatie zag dit als twee keer dezelfde melding, waardoor er één werd opgepakt en één tussendoor glipte.”

Nadat de hackers toegang kregen tot de laptop, begon handmatige activiteit. De hackers probeerden het netwerk in te komen en de controle hiervan over te nemen. Dat lukte dankzij een stuk verouderde software. “In dit geval waren de benodigde updates op slechts twee servers niet geïnstalleerd”, vertelt beveiligingsexpert Frank Groenewegen van Fox-IT. “In die gevallen geldt de regel van de zwakste schakel.”

Die laterale bewegingen van de hackers door het netwerk zijn ook opgemerkt door de systemen, constateerde Fox-IT in zijn onderzoek. Op 19 december ging de antivirusscanner af, omdat de software waarmee de ransomware uitgerold moest worden werd geblokkeerd. De hacker wist de antivirussoftware echter te deïnstalleren. Op 23 december gingen de hackers over op de aanval en werd ransomware ingezet om alle systemen te versleutelen.

Wie is de schuldige?

Fox-IT vermoedt dat er een hackersgroep genaamd TA505, ook bekend als Grace-RAT, achter de aanval zit. Die groep is sinds 2014 bekend onder securityspecialisten en valt sinds die tijd vooral financiële instituten aan. In 2017 begon de groep ook met aanvallen op andere organisaties. 

"Deze hackersgroep is al een tijdje veel bezig met ransomware", aldus Frank Groenewegen van Fox-IT. Wij vermoeden dat zij ook de CLOP-ransomware hebben gemaakt." De CLOP-ransomware is de variant die bij de aanval op Maastricht University is ingezet. 

Fox-IT heeft het vermoeden dat TA505 een Oost-Europese groep is. "Ze spreken in ieder geval de Russische taal", aldus Groenewegen tijdens het symposium. Dat betekent echter niet dat ze Russisch zijn. In diverse landen in het oosten van Europa wordt Russisch gesproken. 

Lopende onderzoeken

De Inspectie Onderwijs kondigde onlangs aan onderzoek te doen naar de cyberaanval. De Inspectie wil weten of de universiteit wel genoeg heeft gedaan om de aanval te voorkomen. Het rapport hierover moet nog voor de zomer verschijnen. Naast het onderzoek van de Inspectie Onderwijs loopt er ook een strafrechtelijk onderzoek van het Openbaar Ministerie.

Ook heeft de universiteit zelf dus onderzoek gedaan naar de aanval, en er komt nog een vervolgonderzoek. Dat onderzoek moet uitwijzen of er persoonsgegevens gestolen zijn. "Fox-IT heeft hier geen sporen van gevonden, maar wij vinden het onze nadrukkelijke verantwoordelijkheid om hier onderzoek naar te doen", aldus Nick Bos, vice-voorzitter van het College van Bestuur van de universiteit. 

Universiteit wil SOC-oplossing

De universiteit heeft bovendien een aantal lessen uit de aanval kunnen trekken, die het nu gebruikt om te investeren in het weerbaarder maken van zijn systemen. Zo wordt er gezocht naar een awarenessprogamma om werknemers te leren beter om te gaan met phishing. Daarnaast wordt uitgezocht hoe het kan dat een aantal servers niet gepatcht waren en de rest wel, en wordt onderzocht of er meer gedaan kan worden op het gebied van netwerksegmentatie. 

Bovendien werkt de universiteit aan 24/7-monitoring van het netwerk en de systemen met behulp van een nog op te zetten Security Operations Center (SOC). Dat centrum moest dit jaar sowieso al opgezet worden, maar dat was dus te laat voor de ransomware-aanval in december. 

Tot slot wordt de manier van backuppen aangepakt. In het verleden werden online backups gemaakt, zodat data snel hersteld kan worden. Maar dat betekende ook dat de backups via het netwerk toegankelijk waren, waar de cybercriminelen gebruik van hebben gemaakt.