Het is 24 december 2019, die dag voor kerst waarop normaal gesproken niemand meer echt werkt. Fysiek zijn er nog mensen aanwezig maar iedereen zit toch vooral met zijn of haar hoofd bij het kerstmaal, waar je het de hele dag met je schoonfamilie over moet gaan hebben op tweede kerstdag en welke Netflix serie je gaat bingen tijdens de derde kerstdag. En zo hoort het. Maar helaas moesten medewerkers van de Universiteit Maastricht vlak voor kerst harder werken dan het gehele jaar daarvoor. De reden? Een complexe en vooral massale ransomware-infectie.

Hackaanval Universiteit Maastricht – 24 december, 18:39.

We gaan terug naar diezelfde dinsdag 24 december als rond het avonduur de eerste berichtgeving binnenstroomt. “Computersystemen van de Universiteit Maastricht zijn vanmiddag met ransomware besmet geraakt. Bijna alle Windows-systemen zijn geraakt en e-mail is niet te gebruiken” aldus de Universiteit zelf op hun eigen website. Op dat moment is nog onduidelijk hoe de hackers toegang hebben gekregen tot de systemen. Enkele uren later meldt de NOS dat de systemen besmet zijn geraakt met de Clop-ransomware. Een vorm van malware waarmee eerder een Frans Ziekenhuis en de Universiteit van Antwerpen werd platgelegd. Omdat het hier om een Universiteit draait is het meest waardevolle waar de hackers eventueel toegang tot zouden hebben de wetenschappelijke data van de onderzoekers. De woordvoerder van de UM claimt dat deze data extra beveiligd is.

25 december, dag 2. Inmiddels is duidelijk geworden dat de aanval nogal allesomvattend is en studenten beginnen hun ongenoegen te uiten op social media. Niet vanwege de aanval zelf, maar vanwege het gebrek aan communicatie vanuit de Universiteit.

“Buiten een berichtje op de Facebookpagina van de UM krijgen we niks te horen. We hebben geen idee wat we moeten”, zo stelt een andere student, die over twintig dagen een thesis moet inleveren en geen toegang tot zijn materiaal heeft. “De website van de bibliotheek, waar alles staat wat ik nodig heb, ligt eruit.”

Inmiddels is ook bekend gemaakt dat er gesprekken zijn geweest met de aanvallers. Dit komt omdat die wetenschappelijke data die ‘extra beveiligd’ was, toch niet zo goed beveiligd bleek te zijn. De universiteit heeft toegang verloren tot veel van deze data en is nu in gesprek met de aanvallers. U kunt zelf uw conclusie trekken.

Ransomware infecteerde het gehele netwerk

Dan komt de NOS op 29 december met de melding dat er een grote kans bestaat dat de systemen nog altijd offline zullen zijn na de kerstvakantie en dat er nog maar weinig progressie is geboekt. Een team van 25 IT-specialisten werken dag en nacht om de boel weer onder controle te krijgen maar dit blijkt weinig effectief te zijn. De Clop-ransomware die treft namelijk niet een computer maar het gehele netwerk. In het geval van een universiteit kunnen dit al snel meer dan 600 IT-systemen zijn. Daarnaast vermoeden cybersecurity-experts ook dat de back-up systemen zijn getroffen door de ransomware waardoor herstelbestanden niet meer beschikbaar zijn. Inmiddels is ook duidelijk geworden dat de infectie is begonnen bij, trommelgeroffel, een phishing e-mail. Op het moment dat de hackers een account zagen waaruit duidelijk werd dat het een medewerker van de universiteit was, werd het natuurlijk een stuk interessanter. Ze zijn vervolgens handmatig te werk gegaan en zodoende hebben ze de Clop-ransomware weten te verspreiden.

Het is vandaag 6 januari 2020, gelukkig nieuwjaar trouwens, en de problemen zijn nog steeds niet volledig verholpen. Maar het lijkt er sterk op dat de UM heeft voldaan aan de betaling van losgeld. Althans dat meldt het Maastrichtse universiteitsblad Observant op basis van ‘goed ingevoerde bronnen’ binnen de universiteit. De onderwijsinstelling zelf doet hierover geen mededelingen. Uiteindelijk heeft de betaling plaatsgevonden omdat de aanvallers waarschijnlijk toch toegang hadden tot die waardevolle onderzoeksdata.

“Als wetenschappers jarenlang onderzoek hebben gedaan en waardevolle resultaten hebben geboekt, dan wil je die data natuurlijk niet kwijtraken”

De systemen komen inmiddels langzamerhand weer online en ondanks dat de studenten nog altijd geen toegang hebben tot hun Exchange omgeving wordt er aan de achterkant hard gewerkt om alles weer operationeel te krijgen.

Vanuit onze optiek…

Waarom we als Rootsec zijnde kozen om juist met deze blog het jaar te beginnen? Omdat het een heel goed en bovenal actueel voorbeeld is van de tijd waarin we leven en de gevaren waar we mee te maken hebben en nog veel meer gaan krijgen. Laat dit voor u als lezer dan ook een wake-up call zijn. Word wakker uit uw kerstslaapje en besef dat u zomaar de volgende kunt zijn. Wist u dat u met een Vulnerability Assessment al heel snel inzichtelijk hebt hoe vatbaar u bent voor een aanval als deze? Als de UM deze had laten uitvoeren dan had Rootsec, onder andere, de volgende waarschuwingen gegeven:

  • Segmenteer jullie netwerk. Het gevaar van een plat netwerk, zoals bij de UM, is dat een aanvaller toegang heeft tot alle data;
  • Limiteer het aantal accounts met beheersrechten. Hoe meer van dit soort accounts des te groter de kans dat ze in verkeerde handen vallen;
  • Vergroot het besef onder medewerkers. Universiteiten zijn de laatste tijd een zeer interessant doelobject. Laat uw personeel regelmatig deelnemen aan awareness trainingen.

Dit zijn slechts enkele aanbevelingen welke kunnen voortvloeien uit een Vulnerability assessment of Penetratietest. Wilt u 2020 goed beginnen met het oog op IT-security? Woon dan ons gratis seminar “Informatiebeveiliging versimpeld” bij op 28 januari.