Cyberaanval

Russen zitten vermoedelijk achter hack Universiteit Maastricht

De Universiteit Maastricht is maandag getroffen door een grote cyberaanval. Daardoor ligt het e-mailverkeer plat en liggen de meeste systemen eruit. Beeld ANP

Russische internetcriminelen zitten waarschijnlijk achter de cyberaanval op de Universiteit Maastricht. Eerder legden zij de universiteit van Antwerpen plat en een Frans ziekenhuis.

De Universiteit Maastricht (UM) is vermoedelijk gehackt door TA505, een groep Russische internetcriminelen. Dat meldt dagblad De Limburger op gezag van de Amerikaanse cybercrimedeskundige Vitali Kremez. Ook de Franse overheid legde eerder dit jaar een connectie tussen het Russische TA505 en de gijzelsoftware die in Maastricht gebruikt is.

De UM maakte op 24 december bekend dat ze kampt met een stevige cyberaanval. Alle computersystemen van de universiteit zijn gegijzeld. Als gevolg daarvan haalde de universiteit de systemen uit de lucht. Ook het mailsysteem werkt sindsdien niet meer.

In totaal zijn er tientallen mensen bezig bij de universiteit om de problemen op te lossen. Daarbij gaat het deels om de technische kant, maar ook om de praktische kant: het op tijd hervatten van de colleges en de toetsen voor studenten. Het onderwijs op de universiteit gaat na de kerstvakantie op 6 januari weer van start. Belangrijke computersystemen die daarvoor noodzakelijk zijn staan vanaf 2 januari weer online. Ook gaan dan de deuren weer open en zullen er mensen fysiek aanwezig zijn om vragen te beantwoorden.

Losgeld, persoonsgegevens of wetenschappelijke data 

Afgelopen dagen kwamen er al honderden vragen binnen. De universiteit is voor vragen telefonisch bereikbaar evenals via speciale e-mailadressen die niet besmet zijn met de gijzelsoftware.

De criminelen gebruiken volgens de universiteit zogeheten Clop-software om de computersystemen te gijzelen. Door die software blokkeren alle computers binnen een netwerk. Vaak eisen criminelen losgeld om alles weer vrij te geven. Of er in dit geval ook om losgeld is gevraagd, wil de universiteit niet zeggen.

Een andere reden om te hacken kunnen persoonsgegevens of wetenschappelijke data zijn. De universiteit nam extra veiligheidsmaatregelen om de gegevens te beschermen. “We hebben goede hoop dat de gegevens niet geschonden zijn”, zegt een woordvoerder van de universiteit. “Dat lijkt niet te passen bij het verdienmodel van de hackers.”

Voor hackers is een universiteit het ideale doelwit

De systemen van een onderwijs­instelling zijn kwetsbaar door de vele gebruikers. Iedere beheerder, student of docent kan een virus binnenhalen, bijvoorbeeld door op een verkeerde link in een e-mail te klikken. Daarnaast hebben universiteiten weinig budget voor informatiebeveiliging. “De Universiteit Maastricht heeft pech, dit kan overal gebeuren”, denkt Marcel Spruit, lector Cyber Security & Safety aan de Haagse Hogeschool.

Spruit vindt extra investeringen ook niet nodig, want die wegen niet op tegen de relatief kleine impact van een ­cyberaanval. “Het is veel belangrijker om een ziekenhuis goed te beveiligen.” Hij vermoedt dat de hackers geld eisen van de universiteit. Voor spionage is de gebruikte gijzelsoftware niet effectief. Een cyberterrorist zou elders meer of ergere slachtoffers kunnen maken.

Hackers hebben vaak succes met ransomware. In het ideale geval maakt een instantie vaak back-ups van het systeem en slaan wetenschappers hun onderzoeks­gegevens ook zelf veilig op, waardoor de digitale gijzeling slechts tijdelijk ongemak oplevert. “De praktijk is soms weerbarstiger. Het betalen van losgeld is een risico, maar kan de effectiefste of goedkoopste oplossing zijn.”

Het gebruik van Clop-software maakt aannemelijk dat TA505 achter de hack zit, schreef cyberdeskundige Kremez op zijn twitterkanaal. “Dat is een logische gedachte”, zegt security-expert Bastiaan Bakker van het Nederlandse bedrijf Motiv. “TA505 wordt gezien als de bron van deze vorm van gijzelsoftware. Het kan natuurlijk zijn dat andere criminelen de software hebben overgenomen van de hackgroep. Maar als ik moest gokken, zou ik ook zeggen dat het de groep zelf was.”

‘Het zou om Russische beroepscriminelen gaan’

Eerder dit jaar werden de Universiteit Antwerpen en een Frans ziekenhuis al geïnfecteerd met de Clop-gijzelsoftware. Naar aanleiding van de gijzeling van het ziekenhuis schreef het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) toen dat de aanval gepleegd was door de cybercriminelen van TA505.

Cyberexperts vermoeden dat de hackgroep uit Rusland afkomstig is. Bakker: “Ze zijn niet aan de overheid verbonden. Het zou om Russische beroepscriminelen gaan.”

De universiteit staat in contact met de criminelen, maar wil niets zeggen over de aard van het contact. De onderwijsinstelling wil ook niet bevestigen of het inderdaad om Russische hackers gaat. “We kunnen niets zeggen omdat er een forensisch onderzoek loopt”, zegt de universiteitswoordvoerder.

Lees ook: 

Universiteit Maastricht doet aangifte van cyberaanval

De Universiteit Maastricht (UM) heeft donderdagmiddag bij de politie aangifte gedaan van een “vrij stevige cyberaanval van ernstige aard”. 

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden