English | Français | Deutsche | Español | Meer talen
Eind december 2019 was de cyberaanval op de Universiteit Maastricht groot nieuws. In de maanden na de ‘hack’ is er door de Universiteit hard gewerkt aan het herstel van het netwerk. Daarnaast hebben het cybercrimeteam van de politie Limburg en het Openbaar Ministerie stevig geïnvesteerd in het opsporingsonderzoek. Dat heeft onder meer geleid tot het volgende succes, namelijk de in beslagname van cryptovaluta ter waarde van plus minus 500.000,- euro.
De aanval
Op maandag 23 december 2019 werd de Universiteit Maastricht slachtoffer van een grote ransomware-aanval. De Windows-systemen werden hiermee platgelegd. Zowel studenten als medewerkers werden daardoor getroffen. Dat was voor de onderwijsinstelling, de politie en het OM in Limburg de start van een intensieve samenwerking. Waar laatstgenoemde partijen aan de slag gingen met een opsporingsonderzoek, nam de Universiteit een cybersecuritybedrijf in de hand om het netwerk en de systemen samen met de eigen medewerkers weer operationeel te krijgen. Hier lees je meer over de aanval.
Sporenonderzoek
De start van het onderzoek begon met de aangetroffen sporen. Metten Bergmeijer, teamleider van het cybercrimeteam van politie Limburg: “Iedere vorm van criminaliteit laat sporen achter, ook criminaliteit in de digitale wereld. Dankzij een goede samenwerking met de Universiteit en het door hen ingehuurde cybersecuritybedrijf hebben we gebruik kunnen maken van de door hen veilig gestelde sporen. Een dergelijke samenwerking is essentieel om een goed opsporingsonderzoek te kunnen doen”, legt Metten Bergmeijer uit. “Je kunt het vergelijken met een woninginbraak. Wij repareren als politie niet de deur die de inbrekers vernield hebben, maar zijn in ons onderzoek wel geïnteresseerd in de vingerafdrukken of andere sporen die op die deur zijn achtergelaten.” Op enig moment zag de Universiteit zich genoodzaakt 197.000 euro losgeld aan de hackers te betalen. Metten Bergmeijer: “We hebben altijd het standpunt gehad dat er niet betaald moest worden. Maar we respecteren en begrijpen in het licht van alle dilemma’s deze keuze.”
Internationale samenwerking
Het onderzoek van het OM en de politie baseerde zich op digitale, financiële en tactische invalshoeken. Criminaliteit stopt niet bij de grens van een eenheid of land en zeker cybercriminaliteit niet. Dat bleek in deze zaak niet anders. Die sporen brachten het onderzoeksteam al snel over de grens. Daardoor ontstond een nauwe internationale samenwerking met diverse landen. Bij een groot aantal partijen in het buitenland werden gegevens gevorderd. Ook de betaling die de universiteit deed, liet sporen na die het onderzoeksteam weer een stap verder bracht. Via een (digitale) zoektocht die vele landen doorkruiste, is er een persoon in Oekraïne bij het onderzoeksteam in beeld gekomen. Het onderzoeksteam is in 2021 afgereisd naar Oekraïne waar de Oekraïense autoriteiten op verzoek van het onderzoeksteam een doorzoeking in een woning hebben gedaan en met betrokkenen gesproken hebben. Het onderzoek daar heeft de weg vrij gemaakt om uiteindelijk de cryptovaluta in beslag te kunnen nemen.
Wallet bevroren
In februari 2020 werd er door het onderzoeksteam een wallet bevroren waar een deel van het betaalde losgeld naartoe is gegaan. Op dat moment was de waarde van de cryptovaluta die daarin stonden ongeveer 40.000 euro. Het bevriezen van de wallet garandeert dat er met het geld niets meer kan gebeuren omdat de eigenaar van de wallet er geen toegang meer toe heeft. Om vervolgens daadwerkelijk beschikking over de wallet te krijgen, moet een juridische traject tot formele inbeslagname leiden. Daartoe moesten onder meer vorderingen en rechtshulpverzoeken bij internationale partners gedaan worden. Een weg van de lange adem, die er uiteindelijk toe geleid heeft dat in april 2022 de cryptovaluta formeel door het OM in beslag werd genomen. Door de koerswijzigingen van de cryptovaluta is de waarde gestegen tot ongeveer 500.000 euro. Méér dan de Universiteit destijds betaalde.
Schadeloos stellen
Georges van den Eshof (officier van justitie cybercrime): “Er moeten nog juridische stappen gezet worden, maar het OM gaat er alles aan doen om dit gehele bedrag bij de Universiteit te krijgen. Zij hebben destijds ongeveer 200.000 euro aan losgeld betaald, maar de door hen geleden schade was natuurlijk veel groter. Denk aan de aanschaf van nieuwe systemen en de werkzaamheden om het netwerk weer operationeel te krijgen. De hoofddoelstelling van de inbeslagname is de Universiteit zoveel mogelijk schadeloos te stellen. Dat was ook een van de doelen in het ons opsporingsonderzoek.” Naast dit mooie resultaat, leerden de politie en het OM ook lessen van dit onderzoek. Metten Bergmeijer: “Dit is destijds door het cybercrimeteam Limburg opgepakt. De afgelopen jaren hebben we van dit en andere onderzoeken geleerd dat incident gedreven werken minder effectief is dan werken vanuit het grotere geheel. Dat is de reden voor de oprichting van de Ransomware Taskforce.”
Aangifte doen loont
Metten Bergmeijer: “In het domein van cybercrime, en zeker waar het gaat om ransomware, is gebleken dat het aanhouden van verdachten weinig kansrijk is. Die bevinden zich immers vaak in landen waar Nederland geen internationale samenwerking mee heeft. We moeten dus uit een ander vaatje tappen. Aangiftes geven ons een cruciaal deel van de informatie die we daarvoor nodig hebben. Het helpt ons de criminaliteit beter te begrijpen en zo de plaatsen te vinden waar we criminelen het hardst kunnen raken. Criminelen moeten bijvoorbeeld met elkaar communiceren, hun geld witwassen of toegang krijgen tot systemen. We moeten onze pijlen richten op het verstoren, frustreren en voorkomen van het criminaliteitsproces. Deze aanpak passen we op dit moment toe in de Ransomware Taskforce waarin specialisten van de regionale cybercrimeteams en het Team High Tech Crime van de Landelijke Eenheid samenwerken aan de verstoring, opsporing en preventie van ransomware volgens dit principe. We onderzoeken als politie of deze methodiek ook toepasbaar is voor de aanpak van andere vormen van cybercriminaliteit. Dit doen we als politie niet alleen. We sluiten hiervoor slimme allianties met onder andere bedrijven en onderwijsinstellingen in binnen en buitenland.”
Bron: politie.nl, om.nl
Meer ransomware nieuws
Belgie: Nu ook bedrijf in Tielt getroffen door ransomware
Opnieuw is een bedrijf getroffen door zogenoemde gijzelsoftware. Computers van Mitsubishi Chemical Advanced Materials in Tielt werden vorige week geïnfecteerd met ransomware. Volgens de directie komt de productie echter niet in het gedrang. Zo’n 15 à 20 werknemers van de administratieve dienst zijn momenteel wel technisch werkloos.
Onderzoeksinstituut Wetsus week gegijzeld door ransomware
Het netwerk van onderzoeksinstituut Wetsus in Leeuwarden is acht dagen gegijzeld geweest door ransomware. Dat meldt de Leeuwarder Courant. Wetsus betaalde losgeld, maar kreeg niet meteen alle ‘sleutels’ terug.
Belgie: 1.700 computers Atlas College Genk geblokkeerd
Het Atlas College in Genk is vanochtend het slachtoffer geworden van computerhackers die opereren vanuit Zwitserland. “De 1.700 computers in het netwerk van onze school zijn onbruikbaar gemaakt, versleuteld. De hackers hebben in een mail om losgeld gevraagd. De Federal Computer Crime Unit en het parket onderzoeken de zaak”, zegt algemeen directeur Christel Schepers van het Atlas College.
Mysterieuze nieuwe Ransomware richt zich op industriële besturingssystemen
Kamer vragen over losgeld na ransomware aanvallen
D66 heeft minister Grapperhaus van Justitie en Veiligheid om duidelijkheid gevraagd over het betalen van losgeld door publieke instanties bij ransomware aanvallen. De aanleiding voor de Kamervragen is een artikel op Security.NL over cyberverzekeringen die voor een toename van ransomware-aanvallen zouden zorgen. Maar ook het nieuws dat de Universiteit Maastricht losgeld betaalde om door ransomware versleutelde bestanden terug te krijgen. Deze ontwikkelingen zijn mogelijk stimulerend voor cybercriminelen omdat de kans op betaling voor ransomware lijkt toe te nemen.
Cybercriminelen beproeven hun geluk met Ransomware
Talloze cybercriminelen kiezen ervoor hun geluk te beproeven met het creëren en verspreiden van ransomware-bedreigingen. De toegangsbarrière als het gaat om het creëren van een ransomware-bedreiging is vrij laag. Dit komt omdat er verschillende bouwpakketten voor ransomware zijn, evenals gevestigde Trojans voor gegevensvergrendeling waarvan de code gemakkelijk online beschikbaar is (darkweb). Dit verklaart waarom de meeste nieuw gespotte ransomware-bedreigingen slechts kopieën zijn van reeds bestaande Trojaanse paarden die bestanden coderen. Sommige cybercriminelen bouwen hun bedreigingen echter helemaal opnieuw op. Dit lijkt te zijn wat er gebeurt met de 'Zeoticus' Ransomware.