Universiteit Maastricht besmet met ransomware – UPDATE

Op Kerstavond heeft Universiteit Maastricht bekend gemaakt besmet te zijn geraakt door ransomware. Volgens de NOS gaat het om zogenoemde Clop-ransomware. In ieder geval de e-mail is niet meer toegankelijk. Voor de zekerheid zijn vrijwel alle gebouwen gesloten. Ook de bibliotheek was niet bereikbaar.

Bij ransomware worden bestanden op een computer of in een netwerk versleuteld. Pas na betaling van losgeld krijgt de eigenaar de documenten weer terug. De aanvallen worden steeds geavanceerder: waar eerst meestal een back-up terugzetten afdoende was, proberen aanvallers nu gelijktijdig de back-ups te besmetten.

Op 2 januari konden de gebouwen weer open. Er hoefden geen colleges te worden afgelast. Langzamerhand zijn de meeste systemen binnen de Universiteit Maastricht weer beschikbaar gekomen. Het is nog onduidelijk hoe de aanval is verlopen. De universiteit doet onderzoek.

Update Universiteit Maastricht 6 februari

Fox-IT heeft het onderzoeksrapport (pdf) van de aanval bekend gemaakt. De besmetting bleek al in oktober te hebben plaatsgevonden. Via een plaatselijke besmetting door middel van phishing hebben de aanvallers een steeds groter deel van het netwerk weten over te nemen.

De besmetting bleek naast een aantal actieve servers ook back-ups te hebben geraakt. Doordat ook back-ups waren geraakt, was het daaruit terugzetten van data niet mogelijk. Om deze reden heeft de universiteit besloten om het losgeld van 30 bitcoin (ongeveer 2 ton in Euro's) te betalen. Een cyberverzekering dekt deze kosten over het algemeen.