NieuwsGijzelsoftware

Universiteit Maastricht betaalde hackers kwart miljoen euro

De Universiteit Maastricht (UM) heeft tussen de 200 duizend en 300 duizend euro betaald aan hackers die het universiteitssysteem met gijzelsoftware hadden vergrendeld. Het bestuur van de universiteit zag zich genoodzaakt te betalen omdat ook de back-up gekaapt was.

Cyberaanval op het computersysteem van de Universiteit Maastricht.Beeld Marcel van den Bergh

Op de back-up stonden onderzoeksgegevens en de gegevens van studenten en medewerkers van de afgelopen decennia. De back-up stond op de universiteitsservers en was daardoor ook voor de hackers te bereiken. Dat blijkt uit gesprekken met diverse betrokkenen.

Medewerkers van de universiteit ontdekten op 23 december vorig jaar dat er problemen waren met de mailserver. Kort daarna bleek het netwerk gegijzeld met de zogenoemde Clop-ransomware. De aanvallers eisten losgeld om de systemen met onderzoeksgegevens, financiële informatie, mailsystemen en het intranet weer vrij te geven. De universiteit besloot uiteindelijk te betalen, omdat ook de back-up met daarin alle historische gegevens was versleuteld.

De Universiteit Maastricht wil niet inhoudelijk op dit artikel reageren en verwijst naar het eigen symposium op 5 februari. Daar wil de UM, voor zover mogelijk, openheid van zaken geven over het onderzoek naar de aanval met gijzelsoftware.

Wake-upcall

De Nationaal Coördinator Terrorismebestrijding en Veiligheid, Pieter-Jaap Aalbersberg, noemde de geslaagde aanval op de Maastrichtse universiteit een ‘wake-upcall’ voor andere universiteiten en hogescholen. ‘Als je goede back-ups hebt en systemen hebt gescheiden, en je hebt updates van de software, ben je hier niet kwetsbaar voor’, zei hij begin deze maand in het Radio 1-programma Dit is de dag.

De universiteit had volgens betrokkenen al maanden eerder te maken met een ‘infectie’: iemand had van buitenaf toegang tot een werkplek. Vermoedelijk ontstond die infectie na een spamcampagne, waarbij criminelen phishingmails uitsturen in de hoop dat iemand daarop klikt. De toegang is later doorgegeven of verkocht aan de ransomwaregroep TA505. Die is al voor december handmatig het netwerk binnengedrongen en heeft in een mum van tijd het systeem overgenomen.

Ransomwaregroepen proberen zo veel mogelijk controle over een netwerk te krijgen en zoeken daarbij ook naar de back-up van een organisatie. Als die te saboteren of te gijzelen is, kan de getroffene geen kant meer op en kan de groep meer losgeld vragen. Beveiligingsexperts adviseren daarom drie versies van de data op te slaan, op minimaal twee verschillende systemen waarbij één back-up niet is verbonden met het bedrijfsnetwerk.

Een geliefd wapen

De universiteit is lang niet het enige slachtoffer van ransomwaregroepen. Gijzelsoftware is de laatste maanden een geliefd wapen gebleken van criminelen en er worden flinke sommen geld mee verdiend. Er zijn verschillende soorten ransomwaregroepen actief, die in stijl en methode verschillen. ‘Van alle incidenten waarbij onze hulp wordt ingeroepen, vormt ransomware nog steeds het grootste aandeel’, zegt Martijn Hoogesteger, teamleider bij cybersecuritybedrijf Northwave.

Volgens hem opereren deze criminele groepen vanuit verschillende regio’s: Azië, Oost-Europa. Soms ziet Hoogesteger dat gijzelsoftware zichzelf van de computers van het slachtoffer verwijdert als het toetsenbord op een Russische variant ingesteld is. ‘Maar het zijn niet alleen maar Russen.’

Hoogesteger stuit de laatste tijd geregeld op Sodinokibi (ook wel REvil): gijzelsoftware die door verschillende groepen wordt ingezet. ‘Het is een service, een volledig geautomatiseerde infrastructuur waarop je je kunt abonneren als crimineel.’

Eerst proberen criminelen een organisatie binnen te komen. ‘Een zwak wachtwoord is nog vaak de zwakke plek. Bijvoorbeeld bij een remote desktop, waardoor het mogelijk is een computer van afstand over te nemen. Daar staat nog weleens het standaard wachtwoord of Welkom01 ingesteld.’

Als de criminelen binnen zijn, infecteren ze het systeem met Sodinokibi. Slachtoffers krijgen een melding dat ze naar een website moeten. Hoogesteger: ‘Daar staat het bedrag dat wordt geëist. Betaalt men niet, dan verdubbelt het bedrag na een bepaalde tijd’.

Miljoenenschade

Volgens Aon, dat bedrijven adviseert over risicomanagement en verzekeringen, kan de schade voor bedrijven na een digitale aanval snel oplopen. Gemiddeld zijn getroffen bedrijven 5 miljoen euro kwijt, blijkt uit recent internationaal onderzoek.

De hackers kiezen hun doelwitten zorgvuldig, bijvoorbeeld in de machinebouw of farmaceutische industrie, omdat bij die bedrijven het productieproces kostbaar is. Zo lag een farmaceutisch bedrijf in West-Brabant in het najaar drie weken plat na te zijn aangevallen met gijzelsoftware.

Hoogesteger: ‘De machines bij dat soort bedrijven draaien al jaren mee, maar zijn na verloop van tijd aan het internet gehangen en daardoor kunnen hackers het productieproces saboteren.’ Criminelen vragen in zulke gevallen met gemak enkele tonnen tot een paar miljoen euro. ‘Een farmaceutisch bedrijf kan het zich niet permitteren om lang plat te liggen.’

Verdienmodel

Nadat het Maastrichtse universiteitsblad Observant begin deze maand had geschreven dat de universiteit losgeld had betaald aan de aanvallers, stelden critici dat de universiteit daarmee het verdienmodel van de criminelen in stand hield. Zouden alle slachtoffers van Sodinokibi-ransomware in januari het gevraagde losgeld hebben betaald, dan hadden de groepen erachter inmiddels meer dan 10 miljoen euro ontvangen, zo zeggen betrokkenen.

Hoogesteger vindt de discussie over het betalen van losgeld ‘ethisch ingewikkeld’. ‘Wij zoeken altijd naar oplossingen om het zonder het betalen van losgeld te doen. Het uitgangspunt is: nee, tenzij.’

Maar dat kan niet altijd. Vooral niet als, zoals bij de UM, ook de back-up in handen is van de criminelen. Hooge­steger: ‘Als het echt niet anders kan, is het verstandig je bij te laten staan door een professionele partij. Onderhandelen over de prijs doen criminelen ook.’

Bitcoins

Onlangs was Northwave betrokken bij een ransomwaregeval bij een bedrijf in Zwitserland. De hackers vroegen 42 bitcoins, wat toen neerkwam op 350 duizend euro. Hoogesteger: ‘We hielden ze voor dat de data die ze hadden versleuteld, minder waard waren. Uiteindelijk kwamen we op 20 bitcoins uit.’

Na het betalen blijken criminelen vaak behulpzaam bij het oplossen van het probleem. Hoogesteger: ‘Best bizar: ze vertellen graag hoe ze zijn binnengekomen en hoe het lek te dichten is. Ik denk uit trots, maar wellicht ook uit schuldgevoel. Ze hebben namelijk net een smak geld gekregen.’

Naast gijzelsoftware ziet Hoogesteger een nieuwe trend: hackers die toegang hebben gekregen tot een systeem, dreigen vertrouwelijke mails en documenten te publiceren als ze niet snel hun geld krijgen.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden