Universiteit Maastricht via phishingmail en verouderde software besmet
De hacker die de systemen van Universiteit Maastricht is binnengedrongen, deed dit door middel van phishingmail en verouderde software. De universiteit heeft 197.000 euro losgeld aan de hacker moeten betalen om bestanden weer te ontsleutelen, zo lieten de securitybedrijf Fox-IT en de universiteit weten.
De hack
Op 15 en 16 oktober stuurde de hacker e-mails met het onderwerp “Documents” die linkten naar een kwaadaardig document. Via dit bestand werd het eerste systeem op 15 oktober besmet. De hacker kon vervolgens door een ongepatcht besturingssysteem op twee servers aanvallen en op 21 november het gehele netwerk binnen. Er waren op deze twee servers bepaalde beveiligingsupdates niet uitgevoerd. Er is niet gemeld om welk verouderd besturingssysteem het ging.
Er werden uiteindelijk twee werkstations en 267 servers gecompromitteerd, waaronder een archiefsysteem. Voor het plaatsen van de ransomware was de hacker afhankelijk van bepaalde software. Deze werd wel gedetecteerd door de antivirussoftware die de universiteit gebruikt. Hierdoor heeft de hacker de antivirussoftware gede-installeerd. Op 23 december was de ransomware uitgespreid.
Bewustzijn
De universiteit zegt dat de aanval aangeeft hoe belangrijk het is je bewust te zijn van informatieveiligheid. Dit is iets waar de Universiteit Maastricht zich meer op wil richten. De phishingmail die in oktober door de hacker was verstuurd, is door twee mensen bij de servicedesk van de universiteit gemeld. De hacker heeft in de phishingmails gebruik gemaakt van twee verschillende links. Er werd eerst gedacht dat het om dezelfde links ging. Hierdoor werd slechts één link geblokkeerd en bleef de andere werken. Ook zegt Universiteit Maastricht dat het had moeten opmerken dat de antivirussoftware was uitgeschakeld.
Ook bevestigd de universiteit dat de back-ups waren versleuteld. Er waren voor een aantal back-ups online back-ups aanwezig. Dit was gedaan om tijdens een incident snel data terug te kunnen zetten. De hacker wist ook toegang tot de online back-ups te krijgen en heeft deze vervolgens versleuteld. Van een ander systeem was wel een offline back-up beschikbaar, maar deze was zes maanden oud.
Losgeld
De universiteit liet weten dat de organisatie op 29 december heeft besloten 197.000 euro losgeld te betalen. De organisatie laat weten dat dit in het belang was van de medewerkers, studenten en de universiteit zelf. Er werd over het bedrag niet onderhandeld. Voor de betaling stuurde de universiteit versleutelde bestanden, die de hacker weer ontsleuteld terugstuurde. De decryptor die de hacker sterker maakte, werkte en liet het toe dat bestanden weer konden worden ontsleuteld. Alle systemen konden hierdoor veel sneller worden hersteld dan wanneer er geen losgeld was betaald, meld Universiteit Maastricht. Het onderwijs zou daarnaast waarschijnlijk maandenlang zijn verstoord wanneer de organisatie niet tot een betaling was overgegaan.
Ook herhaalt de universiteit dat het bewustzijn het belangrijkste is en dat studenten en medewerkers in staat moeten zijn phishingmails tijdig te herkennen. Daarnaast zijn het op tijd installeren van beveiligingsupdates, op de juiste manier met rechten omgaan, netwerkscheiding en een betere back-up de belangrijkste geleerde lessen. Er is nog niet bekend wat de totale kosten van dit incident zijn.
Bron: Security.nl