De aanvaller die systemen van de Universiteit Maastricht met ransomware infecteerde wist binnen te komen via een phishingmail en verouderde software. Daarnaast heeft de universiteit 197.000 euro losgeld betaald dat de aanvaller vroeg voor het ontsleutelen van bestanden. Dat lieten de universiteit en securitybedrijf Fox-IT vandaag weten tijdens een symposium over de ransomware-aanval dat de universiteit organiseerde.
De aanvaller verstuurde op 15 en 16 oktober e-mails met het onderwerp "Documents" die naar een kwaadardig document linkten. Via dit document, waarvan hieronder een screenshot is te zien, werd het eerste systeem op 15 oktober besmet. Door een ongepatcht besturingssysteem op twee servers kon de aanvaller vervolgens op 21 november het volledige netwerk compromitteren en zich lateraal door het netwerk bewegen. Op deze twee servers waren bepaalde beveiligingsupdates niet doorgevoerd. Om welke verouderd besturingssysteem het ging is niet gemeld.
Uiteindelijk werden 267 servers en 2 werkstations gecompromitteerd, waaronder ook een archiefsysteem. De aanvaller was voor het uitrollen van de ransomware afhankelijk van bepaalde software. Die werd echter door de antivirussoftware van de universiteit gedetecteerd. Daarop besloot de aanvaller de antivirussoftware te deïnstalleren. Vervolgens werd op 23 december de ransomware uitgerold. Alle getroffen systemen werden binnen 50 minuten versleuteld, aldus de universiteit.
De universiteit stelt dat de aanval laat zien hoe belangrijk awareness is. Iets waar de organisatie zich meer op wil gaan richten. In het geval van de phishingmails die de aanvaller in oktober verstuurde hebben twee mensen die bij de servicedesk van de universiteit gemeld. De aanvaller had in deze twee gerapporteerde phishingmails twee verschillende links gebruikt. De servicedesk dacht dat het om twee dezelfde links ging. Daarop werd alleen één link geblokkeerd en bleef de andere link werken. Verder stelt de universiteit dat het had moeten detecteren dat de antivirussoftware was uitgeschakeld.
De universiteit bevestigt dat ook de back-ups werden versleuteld. "Voor een aantal back-ups hadden wij online back-ups", aldus de universiteit. De universiteit had dit gedaan om snel data in het geval van een incident terug te kunnen zetten. De aanvaller wisten echter toegang tot de online back-ups te krijgen en konden die vervolgens versleutelen. Er was van een ander systeem wel een offline back-up, maar die bleek zes maanden oud. "Een lacune", aldus de universiteit.
De universiteit laat verder weten dat het in kader van de continuïteit heeft besloten om op 29 december 197.000 euro (30 bitcoin) losgeld te betalen. Dit in het belang van de studenten, medewerkers en de universiteit zelf, zo laat de organisatie weten. Over het bedrag werd niet onderhandeld. Voordat er werd betaald verstuurde de universiteit versleutelde bestanden die de aanvaller ontsleuteld terugstuurde. De decryptor die de aanvaller uiteindelijk verstrekte werkte en zorgde ervoor dat bestanden konden worden ontsleuteld. Hierdoor konden alle systemen veel sneller worden hersteld dan wanneer er niet was betaald, aldus de universiteit. Daarnaast zou het onderwijs mogelijk maanden zijn verstoord wanneer er niet tot betalen was overgegaan.
De universiteit herhaalt dat de menselijke factor, awareness het belangrijkst is en dat studenten en medewerkers in staat moeten zijn om phishingmails te herkennen. Verder wordt gesteld dat het tijdig installeren van beveiligingsupdates, het juist omgaan met rechten, netwerkscheiding en een betere back-upstrategie de belangrijkste geleerde lessen zijn. De totale kosten van het incident zijn nog niet bekend.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Officer
36 - 40 uur
Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.
Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.
Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.