De cybersecurity-lessen die de Universiteit Maastricht heeft geleerd

Tijdens een speciale informatiebijeenkomst heeft de Universiteit Maastricht woensdag details gegeven over de ransomware-uitbraak die de organisatie op 23 december trof.

Vaak dringen cybercriminelen stapje voor stapje en deels handmatig door in de computersystemen van een grote organisatie, totdat de malware zodanig is geïnstalleerd dat op een gegeven moment de totale aanval kan worden ingezet. Dat was bij de UM dus op 23 december het geval, schrijft studentennieuwssite Observant

In de eerste helft van oktober 2019 is een computer in Randwijck, bij ofwel de psychologiefaculteit of de Faculty of Health, Medicine and Life sciences, geïnfecteerd. Vanuit vermoedelijk een geopend Excel-bestand heeft het virus zich langzaam en onopgemerkt kunnen verspreiden. Later zou ook een computer bij de School of Business and Economics zijn getroffen. 

Overigens kwam dezelfde cyberaanval met het Clop-virus ook binnen bij de Universiteit Utrecht. Alleen werd de aanval daar afgeslagen door twee jaar eerder geïnstalleerde software die ransomware buiten de deur houdt. Welke software het betreft, wil de universiteit niet bekendmaken om criminelen niet slimmer te maken. De Universiteit van Maastricht heeft naast een reguliere virusscanner ook een ‘beveiligingstool’ van Carbon Black. 

Losgeld

Fox-IT heeft onderzoek gedaan naar het beveiligingsincident, zo bleek woensdag. Het beveiligingsbedrijf stelt dat TA505 achter de aanval zit. Dit is een unieke hackersgroep waarschijnlijk afkomstig uit Oost-Europa. Ook heeft de universiteit bevestigd dat er losgeld is betaald aan de criminelen. Er zijn 30 bitcoins betaald, omgerekend 197.000 euro. Er is niet onderhandeld met de cybercriminelen. Eerst is een kleine betaling in bitcoins gedaan om te verifiëren dat het om de juiste ontvanger ging.

Waarschijnlijk zijn er geen persoonsgegevens en wetenschappelijke data in verkeerde handen gevallen, maar er loopt nog steeds een onderzoek.

Belangrijkste lessen

De belangrijkste lessen die de universiteit heeft geleerd, zijn allereerst: awareness, zo stelt een woordvoerder. “Het betekent dat we er nog beter voor moeten zorgen dat staf en studenten in staat zijn om phishingmail te herkennen.” Ook wil de universiteit voorkomen dat er schade ontstaat door te zorgen dat de laatste updates en upgrades geïnstalleerd zijn en dat het netwerk en servers proactief gemonitord worden.

Daarnaast gaat de universiteit segmentering aanbrengen op rechten van met name gebruikers en beheerders en segmentering in het fysieke netwerk. En de derde les: als er toch schade is, moet je ervoor zorgen dat er een heel palet van back-ups beschikbaar is.

foto: Twitter @observantUM