Universiteit Maastricht: Het verhaal & Bevindingen Fox-it

Gepubliceerd op 6 februari 2020 om 07:00
Universiteit Maastricht: Het verhaal & Bevindingen Fox-it

Hoe een phishingmail in oktober met Kerst de universiteit platlegde

Foto: nos

"Dat is patient zero", zegt Jules Silvertand, terwijl hij naar een laptop wijst. "De eerste die in ons netwerk is besmet, vanuit hier werd de rest van het netwerk geïnfecteerd."

En daarmee is het ook de laptop die ervoor zorgde dat Silvertand Kerstmis niet bij de kerstboom vierde. "Die dagen hebben we hier doorgebracht", zegt de ICT-medewerker van de Universiteit Maastricht aan zijn bureau.

Op die ene laptop begon een grootschalige ransomware-aanval. Aanvallers wisten grote hoeveelheden bestanden van de universiteit te versleutelen en eisten losgeld: werd dat niet betaald, dan kreeg de universiteit geen toegang meer tot de bestanden.

Tweeënhalve maand

Vlak voor Kerstmis sloegen de aanvallers toe, maar eigenlijk begon de aanval al tweeënhalve maand eerder. Half oktober kwamen er twee phishing-mailtjes binnen bij medewerkers van de universiteit. Een medewerker klikte op de link en liet daarmee de aanvallers - waarschijnlijk uit Oost-Europa - binnen.

"In de mail zat een linkje met daarin een virus", zegt Frank Groenewegen van beveiligingsbedrijf Fox-IT, die betrokken was bij het onderzoek naar de aanval. "Toen dat werd uitgevoerd, zetten ze de deur op een kier."

Daarna begonnen de aanvallers met het afspeuren van het netwerk van de universiteit, op zoek naar kiertjes om meer bevoegdheden te krijgen. Daarmee zouden de aanvallers het netwerk beter in kaart kunnen brengen en harder kunnen toeslaan.

De eerste maand lukte dat niet, maar half november bleken een paar servers verouderde software te hebben. Daarin zitten vaak beveiligingsgaten waarmee een systeem kan worden gekraakt. Op die manier kregen de hackers op 21 november volledige toegang tot het centrale Windows-netwerk van de universiteit.

Rondstruinen

Vanaf toen konden de aanvallers vrijelijk rondstruinen op het netwerk en bestuurden ze de inrichting ervan. Een week voor de uiteindelijke aanval maakten ze een fout: ze zorgden er per ongeluk voor dat de antivirussoftware van de universiteit een waarschuwing gaf.

Maar nadat het bewuste computersysteem was opgeschoond, werd er geen verdere actie ondernomen, waardoor de aanvallers verder konden. Ze schakelden de antivirussoftware uit, zodat ze niet nogmaals tegen de lamp zouden lopen.

Op 23 december begonnen de aanvallers met de uitrol van de ransomware. "Ik merkte het 's avonds, toen ik niet meer bij mijn e-mail kon", zegt ICT-medewerker Silvertand. "Toen merkten we al vrij snel dat er meer aan de hand was dan een reguliere storing." Binnen een paar uur was de universiteit duidelijk: het gaat om ransomware.

267 computerservers bleken te zijn besmet, waardoor mensen niet meer konden inloggen en niet meer bij hun bestanden konden. Ook belangrijke back-ups bleken ontoegankelijk te zijn gemaakt, waardoor het moeilijk was om de systemen te herstellen.

Foto: nos

De bewuste laptop. "Hij komt in ons museum."

Betalen of niet?

Dat zorgde ervoor dat de universiteit moest afwegen: gaan we betalen, of niet? "Een hele moeilijke beslissing", zegt vicevoorzitter Nick Bos van de universiteit. "Je wil natuurlijk geen geld aan criminelen betalen. Maar als we het niet zouden doen, zouden we ten minste een maand uit de lucht zijn geweest."

Dan zouden salarissen niet kunnen worden uitbetaald, studenten geen tentamen kunnen doen en onderzoeken stil komen te liggen. "Sommige studenten zouden dan niet kunnen afstuderen, als het gaat om hun laatste tentamen, terwijl ze misschien al zouden beginnen aan een baan. Het menselijke leed zou echt groot zijn geweest."

Om er zeker van te zijn dat de aanvallers ook echt in staat waren om de universiteit weer toegang te geven tot zijn bestanden, stuurden ICT'ers van de universiteit een aantal bestanden op proef naar de aanvallers. Met succes: ze kregen die werkend terug.

Een week nadat de aanvallers met de ransomware hadden toegeslagen, besloot de universiteit te betalen: 30 bitcoin. Volgens de koers op 30 december bijna 200.000 euro.

Museumstuk

Inmiddels is de universiteit 'grotendeels' weer up and running, zegt Silvertand. "Al is het nog wel iets drukker dan normaal." En de eerste laptop die werd geïnfecteerd? Die krijgt een plaatsje in een museum, belooft de universiteit.

Schrijver: Joost Schellevis

Bron: nos

Presentatie Fox-it

Bron: fox-it