Eind 2019 werd het computernetwerk van de Universiteit Maastricht gegijzeld. Tweeënhalf jaar politieonderzoek leidde niet tot arrestaties, maar de 200 duizend euro losgeld werd wel ruimschoots teruggevorderd. Wat is er precies gebeurd? Een reconstructie.

Voor de buitenwereld is de hack van de Universiteit Maastricht alweer voorbij als een specialist van het cyberteam van de politie Limburg nog eens een geldspoor naloopt. Een week lang kon de universiteit helemaal niets. Criminelen hadden de computersystemen gegijzeld. Studenten konden niet bij hun mail, onderzoeksdata en wetenschappelijke literatuur, ze dreigden examens te missen en konden geen scripties inleveren. De universiteit zag geen andere uitweg dan de pijnlijke beslissing te nemen losgeld te betalen.

De digitaal specialist van de politie opent op het bureau in Venlo een Amerikaans softwareprogramma dat bitcoinstromen inzichtelijk maakt en voert het adres in waar de universiteit enkele dagen eerder, op 30 december 2019, 200 duizend euro aan bitcoins heeft overgemaakt. Op het scherm verschijnt een netwerk van bitcoinadressen, lijntjes en bedragen. De politieagent ziet dat het betaalde bedrag, 30 bitcoins, na betaling in drieën is gesplitst en gestuurd naar nieuwe wallets – accounts waar bitcoin of andere cryptovaluta in staan. Een groot gedeelte is razendsnel verder gestuurd en na vele opsplitsingen uit zicht geraakt. Een klein bedrag, 4,54 bitcoin, kiest een andere route. Dat gaat naar een account bij een bitcoinplatform. Wat opvalt, is dat het bedrag erin gaat en een paar minuten later in z’n geheel weer eruit.

Dat trekt de aandacht van het team in Limburg. De politie wil weten van wie het account is en stelt een vordering op. Die belandt zes weken daarna bij het platform, tevens broker. Het antwoord van de broker een dag later zet het dan kleine cybercrimeteam op een nieuw spoor – en zal uiteindelijk, via vele omwegen, in 2022 leiden tot de inbeslagname van een half miljoen euro, een bedrag dat hoger is dan het betaalde losgeld en terug zal gaan naar de Universiteit Maastricht.

Ondanks dit ogenschijnlijk mooie resultaat was het politieonderzoek naar de hack bij de Universiteit Maastricht tijdrovend en ineffectief, blijkt uit gesprekken met betrokkenen van politie, Openbaar Ministerie en de Universiteit Maastricht. Politie en OM kwamen in tweeënhalf jaar nauwelijks dichter bij de werkelijke daders van de aanval. Metten Bergmeijer, teamleider van het cybercrimeteam van de politie Limburg: ‘Incidentgedreven onderzoek is weinig effectief, dat hebben we wel geleerd. De kans op succes is nihil.’ Georges van den Eshof, officier van justitie cybercrime in Limburg: ‘Het opsporen van dit soort verdachten is een van de minst effectieve interventies die je kunt doen.’

Het politieonderzoek naar de hack bij de Universiteit Maastricht schudde justitie wakker: het moet anders. We moeten méér doen om dit soort aanvallen te voorkomen. Niet door de hackers op te sporen, dat gaat niet lukken, wel door hun businessmodel te verstoren en ze te ontmoedigen.

Het losgeld terug, maar de politie is niet tevreden. Wat is er precies gebeurd?

Een grote cyberaanval, bijna alle Windows-systemen geraakt

Kerstavond, 2019. Teamleider Bergmeijer is thuis als hij een nieuwsbericht van de regionale omroep 1Limburg ziet over een ‘grote cyberaanval’ bij de Universiteit Maastricht. De politieman leest dat ‘bijna alle Windows-systemen zijn geraakt’ en dat de bibliotheek, wetenschappelijke data en het studentenportaal offline zijn. De 25 duizend studenten en medewerkers kunnen niet meer bij hun mail of wetenschappelijke data. Bergmeijer, hoofd van een pas opgericht cybercrimeteam, wil in contact komen met de universiteit en zoekt online het persbericht op. Daar vindt hij het nummer van een woordvoerder die hem in contact brengt met de verantwoordelijken voor digitale veiligheid.

Zo krijgt Bergmeijer een eerste beeld. Een avond eerder, op 23 december, zijn de systemen in Maastricht vastgelopen. Midden in de nacht verscheen op computers een losgeldeis: de servers waren versleuteld en de universiteit diende 30 bitcoins te betalen. Een medewerker belde het noodnummer van beveiligingsbedrijf Fox-IT, dat in de loop van de dag arriveerde. Het Team High Tech Crime van de Nederlandse politie kwam het politieteam in Limburg helpen.

Op Tweede Kerstdag doet de universiteit aangifte. Daarna beginnen Bergmeijer en twee specialisten vanuit het bureau in Venlo met de opsporing en het verzamelen van bewijs. Ze krijgen sporen van Fox-IT, horen getuigen, bekijken logfiles, IP-adressen en de malware zelf.

Als eerste spreken ze ‘patïent zero’, de persoon die maanden terug de malware ongewild heeft binnengehaald. Op 15 oktober 2019 rond 14.00 uur belandde een phishingmail met onderwerp ‘Documents’ in de inbox van een medewerker. ‘Zoals besproken,’ stond er in het Engels, ‘zie bijgaand een kopie van uw documenten. Kunt u deze alstublieft tekenen en zo snel mogelijk naar mij terugsturen.’ Met daaronder een link naar een Excel-bestand in OneDrive. ‘Laat alstublieft weten als u vragen heeft, vriendelijke groet.’

Vijftig minuten later klikte de medewerker op de link. Toen hij het Excel-bestand opende, zette die onzichtbaar de eerste malware op zijn laptop. Een dag later kregen ook andere medewerkers een vergelijkbare phishingmail. Een enkeling meldde zich bij de Servicedesk, die de mails bekeek, het domein blokkeerde in de firewall en dacht dat het daarmee was verholpen. Maar toen hadden de hackers al zeker bij één computer beet. Ze werkten zich in de weken daarna ongestoord door het netwerk, onder meer omdat niet alle Windows-updates bleken uitgevoerd. Daardoor waren servers nog kwetsbaar voor een bekende exploit, EternalBlue, die in 2017 werd gebruikt voor een destructieve aanval door de Russische veiligheidsdienst op Oekraïne.

Uiteindelijk kregen de hackers volledige rechten tot het universiteitsnetwerk. Op 23 december om 17.53 uur begon het uitrollen van de Clop-gijzelsoftware. Daarvoor verwijderde de aanvallers eerst nog de antivirussoftware die de malware tegenhield. In een paar uur tijd werden 267 Windows-servers versleuteld, inclusief diverse back-upsystemen. Daarna verscheen op computers een bericht: ‘Alle bestanden […] zijn versleuteld met een sterk algoritme. Als je de bestanden wilt herstellen, stuur een bericht naar een van de e-mailadressen.’

Moeizame zoektocht naar daders, 200 duizend euro losgeld betaald

Wanneer het team van Bergmeijer begint, zijn er allerlei aanknopingspunten – die ook direct duidelijk maken hoe lastig de opsporing gaat zijn. De Clop-malware communiceert met een server van de hackers in Oekraïne. De verbinding loopt via een transitprovider in Londen. De politie kan die server in Londen niet tappen of hacken en moet een informatieverzoek doen. Daarna is het maandenlang wachten op antwoord.

In de losgeldeis staan drie maildomeinen waarmee de universiteit met de hackers kan communiceren. Een daarvan is Tutanota, een in Duitsland gevestigde e-maildienst die versleutelde mail aanbiedt. De andere e-maildiensten zijn gevestigd in voormalige Sovjetlanden, waar Nederland niet altijd een rechtshulpverdrag mee heeft. Informatie opvragen duurt langer. Bergmeijer verzoekt de universiteit om Tutanota te kiezen en stuurt een spoedverzoek naar het bedrijf om meer te weten te komen over de gebruikers van het account. Dat levert weinig op: Tutanota houdt nauwelijks informatie bij, waardoor het niet mogelijk is terug in de tijd te gaan om te zien wanneer het account is aangemaakt, door wie en met wie er eerder is gecommuniceerd. Ook de data die Tutanota bewaart vanaf de vordering is beperkt: het bedrijf slaat alleen de metadata op, welke mailadressen communiceren met elkaar, wanneer en vanaf welk IP-adres.

Na een week krijgt Bergmeijer telefoon van de directeur juridische zaken van de universiteit. Het college van bestuur heeft besloten in te gaan op de losgeldeis en de criminelen te gaan betalen. Een ‘duivels dilemma’ zegt Michiel Borgers, IT-directeur van Universiteit Maastricht achteraf. ‘Het college heeft een week nodig gehad om tot dit besluit te komen en had er buikpijn van.’ Wat meespeelt: vierduizend studenten staan voor hun examens en kunnen niet in het systeem. Er dreigt een grote leerachterstand. Borgers en de universiteit staan in nauw contact met het ministerie van Onderwijs, de Onderwijsinspectie en leden van het kabinet. Borgers: ‘Ze lieten telkens weten dat het niet de bedoeling was dat we losgeld gingen betalen. Maar ze zeiden er ook direct bij dat het de eigen verantwoordelijk van de universiteit is.’

De financieel directeur van de universiteit zal de betaling doen. Borgers: ‘Hij moest zelf een wallet aanmaken en bitcoins kopen.’ Onderhandelingsruimte over de losgeldeis is er niet. Het gevraagde bedrag – ongeveer 200 duizend euro – staat vast en is, tot verbazing van politie en universiteit, relatief laag in vergelijking met de omvangrijke omzet van de universiteit (470 miljoen euro).

De directeur maakt een rekening aan. Vervolgens stuurt hij ter controle een klein bedrag naar de criminele groep. Hij wil weten of het gemelde account daadwerkelijk van de hackers is. Die laten hem weten welk bedrag is bijgeschreven. Dan volgt een extra controle om te zien of de criminelen wel de sleutel voor de bestanden hebben. De universiteit kiest drie versleutelde documenten en mailt die naar de hackers. Een paar minuten later krijgen ze die onversleuteld via de mail terug. Daarna, op 30 december, maakt de directeur 30 bitcoins over. Zo’n 200 duizend euro gaat in een oogwenk van de universiteit naar een onbekende criminele groepering.

Deze betaling is een kans voor de politie. Het onderzoek van het team van Bergmeijer – dat in 2020 bestaat uit zes vaste medewerkers en diverse tijdelijke krachten – heeft dan allerlei gesprekken, logbestanden, IP-adressen en domeinen opgeleverd, maar het brengt de politie niet dichter bij de daders. Het losgeld, ziet de cryptospecialist die met het Amerikaanse programma Chainalysis bitcoinstromen in kaart brengt, splits zich na betaling in drieën en vervolgens weer verder in allerlei partjes, totdat het grootste gedeelte uit zicht raakt.

Criminelen maken hierbij gebruik van zogeheten ‘mixers’, diensten die bitcoinbetalingen verhullen door ze constant rond te sturen en op te knippen. Het grootste deel van het losgeld gaat op in een enorm witwasnetwerk waar miljoenen dollars aan cryptovaluta rondgaan. Als een betaling in een wallet komt waar al veel geld in zit en waar vervolgens kleine deeltjes uit gaan, is voor de politie niet meer helder wat de relatie van die bedragen tot de zaak is. De politie kan in dit geval niets vorderen. Alleen het afgesplitste stukje van 4,54 bitcoin – huidige waarde ruim 90 duizend euro – biedt een kans. Het team stelt een vordering op, dat er zes weken over doet om bij de broker te komen vanwege internationale rechtshulp. Die broker stuurt een dag later een opvallende mail terug. De identiteit van de eigenaar van de wallet is bekend. De politie ontvangt zelfs een kopie van een Oekraïens paspoort én een pasfoto.

En er is nog meer geluk. In de wallet blijken – nadat het bedrag vanuit de universiteit er in én weer uit is gegaan – nog andere cryptovaluta te zitten. Omdat de persoon wordt verdacht van het witwassen van crimineel geld, stuurt het Openbaar Ministerie direct een bevriezingsbevel naar de broker. Officier Van den Eshof: ‘We verdachten de eigenaar van de wallet van witwassen. We kunnen de bitcoins niet meer terughalen, maar wel het andere bedrag vorderen.’ Het bedrag dat bij het account hoort, 40 duizend euro aan cryptovaluta, wordt vastgezet. De kosten voor de universiteit zijn inmiddels flink hoger dan enkel het betaalde losgeld. Het inhuren van beveiligingsbedrijf Fox-IT kost geld, evenals het vervangen van systemen en het verbeteren van de digitale veiligheid.

De gebruiker van de wallet krijgt een kennisgeving. Van den Eshof. ‘Die persoon mailde ons een dag later waarom hij niet meer bij zijn geld kon.’ Politie en OM willen het bedrag direct in beslag nemen. Immers: ‘Als een crimineel wordt verdacht van witwassen en we vinden de kist met geld niet, nemen we ook zijn Ferrari in beslag.’

Een Ferrari tilt de politie op een aanhangwagen, de cryptomunten blijken lastiger te vangen. Nadat het geld is bevroren, ontspint zich een juridische strijd over de inbeslagname. Het bitcoinplatform zet justitie op een dwaalspoor. Als het OM een eerste vordering stuurt, antwoordt het platform dat die naar een adres op de Seychellen moet. Komt het daar aan, zegt het platform weer dat het een locatie op de Kaaimaneilanden moet zijn. Van den Eshof: ‘Dit werd een reis om de wereld in tachtig vorderingen.’ De advocaat van de broker stuurt het OM telkens een andere kant op. Jarenlang. Totdat het OM erachter komt dat het platform helemaal geen vestigingsadres heeft. De officier: ‘Het werkt zo: als de vestigingsplaats niet bekend is, mogen wij het geld vorderen.’

Ondertussen is het politieonderzoek verdergegaan. In 2021 gaan de cryptospecialist, een coördinator van het cybercrimeteam en officier Van den Eshof naar Oekraïne – het bezoek is vanwege de pandemie een paar keer uitgesteld – om de eigenaar van de wallet te horen. Daar blijkt volgens de politie dat hij een simpele katvanger is, die niets van de Universiteit Maastricht weet. Hij is onvoorzichtig geweest door het geld naar zijn eigen wallet te sturen en het hele bedrag vervolgens door te zetten. Bergmeijer: ‘Een sukkel die zich heeft laten misbruiken.’ Politie en OM willen over het verhoor niets kwijt. Het onderzoek loopt nog. De computers van de verdachte worden in beslag genomen. Bergmeijer: ‘We vermoeden dat de daders in Rusland zitten. Daar kunnen we weinig beginnen.’

Politie concludeert: we moeten dit soort criminelen anders aanpakken

Zo heeft de politie na tweeënhalf jaar tijdrovend en intensief onderzoek nog nauwelijks een beeld van de hackers. De conclusie van teamleider Bergmeijer is dan ook: we moeten het anders doen. ‘Door dit onderzoek hebben we onze methode aangepast.’ Kijk, zegt hij, je kunt eindeloos veel investeren in het vinden van de hackers. Als dat al lukt, blijken ze misschien in Rusland te zitten. Een uitleveringsverzoek is kansloos, Rusland levert geen onderdanen uit. ‘We moeten slimmer zijn.’ Op een andere manier willen politie en OM het criminele hackers daarom moeilijker maken. Ze willen het businessmodel kapotmaken.

Dat begint bij de fora waar criminele hackers samenkomen. Het gijzelen van een organisatie is het eindpunt van een crimineel model waarbij allerlei spelers actief zijn, van kleine tot grote criminelen. Aanbieders van phishingspanelen bijvoorbeeld om phishingmails uit te sturen, makers van de gijzelsoftware die als dienst wordt aangeboden, verkopers van gehackte domeinen. Bergmeijer: ‘In die fora infiltreren we.’ De politie Limburg doet aan ‘pseudokopen’ om te achterhalen wie de criminele producten aanbiedt. Bergmeijer: ‘Het kopen van zo’n product levert ons nieuwe data op.’ Zo kocht de politie een phishingpaneel, een kant-en-klaar pakket inclusief websites en domeinen waarmee het mogelijk is grootschalig phishingmails uit te sturen. Door de koop, de bitcoinbetalingen en de communicatie met de verkoper kreeg de politie waardevolle telecomdata. Die leidden naar een verdachte.

Als een forum of server overduidelijk crimineel van aard is, wordt het offline gehaald. Officier Van den Eshof: ‘Dat is vele malen effectiever dan een dader opsporen. Met het offline halen kun je zo 100 duizend tot 200 duizend phishingmails voorkomen.’ De politie is aanwezig in Telegramkanalen en maakt zich soms kenbaar om criminelen af te schrikken. Op al die plekken vindt justitie aanwijzingen van nieuwe slachtoffers, die justitie waarschuwt. Bergmeijer: ‘Op het darkweb vonden we nieuwe slachtoffers van Clop-gijzelsoftware. We informeren hen: let op, ze zitten binnen bij je. Zorg dat je de zaak dichttimmert.’

Dat dit succesvolle afpersingen voorkomt, blijkt als de Universiteit Maastricht IP-adressen van de eigen hack via onderwijsplatform SURFcert deelt met andere universiteiten. Twee Nederlandse universiteiten blijken reeds geïnfecteerd te zijn door dezelfde groep. De hackers hebben toegang tot het netwerk, maar de Clop-malware nog niet uitgerold. Michiel Borgers van Universiteit Maastricht: ‘Dankzij het delen van deze IP-adressen hebben we grotere schade voorkomen.’ Acht maanden na de hack alarmeert Bergmeijer de universiteit: in een kopie van een aanvalsserver is opnieuw het domein van Universiteit Maastricht aangetroffen. Borgers: ‘De urgentie was ons meteen duidelijk. Maar we hebben het nagetrokken en het bleek niets bijzonders.’

Het is precies dit soort alertheid en samenwerking die politie en OM propageren. Officier Van den Eshof: ‘Wat we te vaak zien: na een infectie gaat het digitaal handige neefje van de eigenaar proberen de boel te resetten.’ Nuttige data gaan zo verloren. ‘Het is hetzelfde als na een inbraak: gooi je direct de opengebroken voordeur weg, dan zijn de sporen ook weg.’ Michiel Borgers: ‘De eerste reactie is vaak: alles uitzetten. Nee, haal de netwerkkabel eruit en laat de rest aan.’ Bergmeijer van de politie zou graag zien dat bedrijven méér aangifte doen. ‘Ze zijn huiverig. Uit angst voor reputatieschade houden ze een hack liever geheim. Terwijl: de enige kans die wij krijgen om onderzoek te doen is als we data hebben.’

Voor de Universiteit Maastricht pakte het slepende politieonderzoek uiteindelijk wonderlijk goed uit. Toen het OM in april 2021, na meer dan twee jaar eindelijk beslag kon leggen op de cryptomunten, bleek de waarde in de tussentijd enorm gestegen. De cryptovaluta waren in korte tijd van 40 duizend euro naar 500 duizend euro gegaan. Officier Van den Eshof: ‘Het zat mee.’ Nadat de cryptomunten op de rekening van het OM waren gezet, zijn ze direct verkocht. ‘Dat is beleid. We gaan als OM niet speculeren met in beslag genomen cryptovaluta.’ Als de universiteit het geld binnenkort krijgt teruggestort, heeft de onderwijsinstelling een passende bestemming. Michiel Borgers: ‘We zullen het in een fonds stoppen voor noodlijdende studenten. Die groep is de laatste jaren immers hard getroffen.’