Universiteit Maastricht betaalde bijna 200.000 euro losgeld na ransomware-aanval

Gijzelsoftware Na lang overleg maakte de Universiteit Maastricht 30 bitcoin over naar cybercriminelen die gevoelige gegevens van de instelling gegijzeld hadden.
Foto Chris Keulen

De Universiteit Maastricht heeft 197.000 euro losgeld betaald om gegijzelde bestanden weer vrij te kopen van cybercriminelen. Dat maakte Nick Bos, vice-voorzitter van het College van Bestuur, woensdag bekend tijdens een persconferentie over de cyberaanval van eind december.

Bos sprak in de aula van de universiteit over „een duivels dilemma” voor het bestuur van de universiteit, waar veel discussie over was. Uiteindelijk woog continuïteit van onderwijs en onderzoek zwaarder dan het „maatschappelijke belang” om criminelen niet te betalen, zei Bos. „Als bestuurder gruw je van die gedachte.” Volgens Bos had „het van scratch af opbouwen van alle systemen maanden gekost”, nog los van alle data van studenten en onderzoekers die verloren was gegaan. De Universiteit Maastricht besloot op 29 december - zes dagen na de aanval - dertig bitcoins over te maken naar de criminelen. Niet betalen zou „onaanvaardbare risico’s” met zich meebrengen. Onder meer de salarisbetaling van januari zou in gevaar komen, zei Bos.

De Universiteit Maastricht werd op 23 december getroffen door een ernstige ransomware-aanval. Veel Windows-systemen werden platgelegd en e-mailen was lange tijd niet mogelijk. Op 6 januari werd de gebruikelijke gang van zaken weer hervat, hoewel ook momenteel nog niet alle systemen weer hersteld zijn. 267 servers werden uiteindelijk geïnfecteerd door gijzelsoftware met de naam Clop.

Lees ook: Zo gijzel je een netwerk, in twaalf stappen

Grace-RAT

Volgens beveiligingsbedrijf Fox-IT zat de Oost-Europese groep cybercriminelen Grace-RAT achter de aanval met Clop. De aanvallers - ook bekend als TA505 - hebben de gijzelsoftware waarschijnlijk zelf geprogrammeerd.

Grace-RAT, actief sinds 2014, verkreeg op 15 oktober al toegang tot het netwerk van de universiteit via een phishing e-mail met een besmette link. Ook bepaalde back-ups van de universiteit werden versleuteld. De groep maakte sinds februari 2019 zeker honderdvijftig slachtoffers, zei Fox-IT-directeur Frank Groenwegen. Ook de universiteit van Antwerpen werd getroffen door Clop, hoewel de impact daar relatief beperkt bleef.

De Universiteit Maastricht organiseerde woensdag een symposium over de cyberaanval. De instelling wil zo transparant mogelijk zijn over de cyberaanval, in de hoop dat andere organisaties daarvan leren.