Na fatale klik hadden hackers vrij spel

Hack Universiteit Maastricht De hackers betalen was verschrikkelijk, maar het alternatief was nog veel erger, zegt de Universiteit Maastricht.

De Universiteit Maastricht hoopt dat de openheid over de hack andere organisaties wakker schudt.
De Universiteit Maastricht hoopt dat de openheid over de hack andere organisaties wakker schudt. Foto MARCEL VAN HOORN/ANP

Op een pilaar voor in de aula staat de laptop waarmee de digitale ramp voor de Universiteit Maastricht begon. Patient zero, oftewel de eerste patiënt, in de taal van cyberdeskundigen en virologen. Op 15 oktober vorig jaar klikte een universiteitsmedewerker op deze laptop op een uiterst giftige link. Het resultaat was dat hackers tijdens de kerstvakantie 267 servers van de Universiteit Maastricht wisten te vergrendelen.

De onderwijsinstelling zag zich genoodzaakt losgeld te betalen om op 6 januari weer studenten te kunnen verwelkomen. Tijdens een symposium vertelde Nick Bos, vicevoorzitter van het College van Bestuur, woensdag hoe de digitale ramp zich eind vorig jaar voltrok en welk bedrag er uiteindelijk werd betaald.

Lees ook: Zo gijzel je een netwerk, in twaalf stappen

Virusscanner verwijderd

Na de fatale klik half oktober hadden hackers binnen een paar weken de volledige controle over het universiteitsnetwerk. Ongedecteerd bereidden ze hun aanval met gijzelsoftware voor. Op 19 december ging wel een virusmelding af, maar de universiteit beschikte niet over de juiste software om die op waarde te schatten. De hackers bleven onopgemerkt en verwijderden de virusscanner. Nu hadden ze vrij spel.

Op 23 december rolden ze de gijzelsoftware uit over het hele netwerk. Op dat moment werden ze opgemerkt. Maar het was al te laat. Computers werkten niet meer, salarissen dreigden niet meer te worden uitbetaald en onderzoeksresultaten van wetenschappers waren buiten bereik.

„Een moment dat voor altijd in het collectieve geheugen van onze universiteit bewaard zal blijven”, aldus Bos. Ook terugvalsystemen waren geïnfecteerd. Een dag na de ontdekking werd cyberveilingsbedrijf Fox-IT ingehuurd om de aanval te onderzoeken.

Fox vermoedt dat de Russisch sprekende hackersgroep TA505 verantwoordelijk is voor de digitale afpersing in Maastricht. TA505 is actief sinds 2014 en viel eerst vooral financiële instellingen aan. Die zijn steeds beter beveiligd. Sinds 2017 heeft de groep het ook op andere organisaties gemunt. De gijzelsoftware Clop, die TA505 vermoedelijk zelf ontwikkelde, maakte sinds februari vorig jaar minimaal 150 slachtoffers wereldwijd.

Voor ruim tweehonderd medewerkers van de universiteit betekende de Clop-aanval dat de kerstvakantie grotendeels werkend werd doorgebracht. IT-medewerkers moesten aan de slag en de helpdesk moest telefonisch bereikbaar zijn. „Maar ons allergrootste vraagstuk was: wat te doen met de eisen van de gijzelnemers?” aldus Bos. Het universiteitsbestuur „gruwt” van de gedachte criminelen te betalen met belastinggeld. Maar de systemen van de grond af aan opbouwen zou weken, zo niet maanden duren. „De schade daarvan voor de studie en het werk van studenten, wetenschappers, medewerkers, en de risico’s voor de continuïteit van de instelling, zijn dan nauwelijks te overzien.”

De Universiteit Maastricht besluit op 29 december de gevraagde 30 bitcoins over te maken, 197.000 euro bij de koers van dat moment.

Dat is een fors bedrag, maar valt waarschijnlijk in het niet bij de investeringen die Fox-IT adviseerde om de beveiliging van de universiteit te verbeteren. Stap één is betere bewustwording én afhandeling van meldingen van ‘phishing e-mails’ met gevaarlijke links. Medewerkers hadden de verdachte mails half oktober keurig gemeld. „Omdat de aanvaller meerdere mails met vrijwel vergelijkbare links had verstuurd, heeft één variant onvoldoende opvolging gehad”, schrijft de universiteit in een reactie op het Fox-rapport. Goede opvolging van de melding had beveiligers eerder op het spoor van de hackers kunnen zetten.

Lees ook: Ineens lag de fabriek plat: ‘Sorry! Uw bestanden zijn versleuteld

Digitale basishygiëne

De technische verbeteringen die de universiteit door wil voeren, laten zien dat er sprake was van achterstallig onderhoud. Eén van de aanbevelingen is om software beter en accurater bij te werken. Dat klinkt eenvoudiger dan het is. „Om een beeld te schetsen: de universiteit krijgt ongeveer 100.000 updates per jaar binnen, die allemaal verwerkt dienen te worden op 1.647 servers en 7.307 werkstations”, aldus directeur Michiel Borgers. Eén fout heeft grote gevolgen: een niet goed gedichte kwetsbaarheid werd door de hackers gebruikt om meer toegang te krijgen.

Het is ook de vraag of de aanval dezelfde gevolgen had gehad als de hackers geen toegang tot back-ups van een paar kritische systemen hadden verkregen. Inmiddels heeft de universiteit de back-ups wel dubbel – online én offline – uitgevoerd. Ook wordt het netwerk strikter gesegmenteerd, zodat hackers - als ze eenmaal binnen zijn - minder makkelijk door het netwerk kunnen bewegen.

De aanbevelingen van Fox-IT zijn grotendeels onderdeel van het standaardpakket; digitale basishygiëne. Het probleem is groter dan de Universiteit Maastricht. De realiteit is dat te weinig instellingen dit soort maatregelen daadwerkelijk nemen. Het moet daarom niet alleen over de Universiteit Maastricht en het losgeld gaan, hoopt Bos. De transparantie van de universiteit moet een wake up call worden voor andere organisaties, vindt hij. „Dat zou voor ons na zes hele intensieve weken een bemoedigende gedachte zijn.”