Cybercriminelen

Universiteit Maastricht over de hack: we konden niet anders dan betalen

De Inspectie Onderwijs onderzoekt of de Universiteit Maastricht genoeg heeft gedaan om de cyberaanval van eind december te voorkomen. Dat zegt minister Van Engelshoven tegen de Tweede Kamer. Haar ministerie laat weten dat het onderzoek al loopt, en dat het rapport er naar verwachting voor de zomer ligt.Beeld ANP

De Universiteit Maastricht betaalde cybercriminelen na een aanval een kleine twee ton. Om erger te voorkomen.

Met lichte tegenzin kwam het hoge woord eruit op de Universiteit Maastricht. De cybercriminelen die de systemen van de onderwijsinstelling net voor Kerst wisten te versleutelen, kregen 197.000 euro van de universiteit. Volgens vice-president Nick Bos was dat in het belang van de studenten en medewerkers. Was er niet betaald, dan had het weken of misschien wel maanden geduurd voordat iedereen weer aan de slag kon en waren sommige bestanden mogelijk verloren gegaan.

De universiteit gaf opening van zaken tijdens een symposium gistermiddag en hoopt dat andere onderwijsinstellingen ervan kunnen leren. Maar Bos wilde voorkomen dat de discussie zou gaan over de vraag of die kleine twee ton die betaald is veel of weinig is. “Laten we het over de inhoud hebben”, zei hij.

Phishingmail

Het begon allemaal op 15 oktober, met een phishingmail. Iemand klikte erop, waarna de aanvallers binnen waren. Vanaf die eerste laptop baanden de cybercriminelen zich een weg door de systemen van de universiteit. Op 23 december volgde de uitrol van ransomware, waardoor systemen ontoegankelijk werden. Volgens Fox-IT, het cybersecuritybedrijf dat de universiteit bijstond, werden in totaal 269 servers versleuteld. Dat koste de aanvallers slechts vijftig minuten.

Fox-IT heeft sterke vermoedens dat de aanvallers uit Oost-Europa komen. Het bedrijf zegt de groep te kennen. Die is zeker al sinds 2014 actief en uit op geldelijk gewin, de laatste tijd via ransomware.

Beveiliging niet helemaal op orde

Dat de groep in Maastricht succesvol was, komt mede doordat de beveiliging niet helemaal op orde was. Zo was een paar dagen voor de ransomware-aanval het anti-virussysteem wel afgegaan, maar werd er niet veel met die melding gedaan. Ook ontbraken op een aantal servers beveiligingsupdates. Bovendien bleek een zogenaamde ‘loper’, waarmee de systeembeheerder in alle systemen kan komen, veel vaker gebruikt te worden dan de afspraak was. Daardoor stond die loper ergens in een geheugen van een server opgeslagen en wist de hacker die te bemachtigen.

Het interne onderzoek van de universiteit naar hoe het mis kon gaan, loopt nog. Ook moet nog duidelijk worden hoeveel geld de cyberaanval in totaal heeft gekost. Volgens Bos ligt dat bedrag vele malen hoger dan de kleine twee ton die aan de criminelen is betaald.

Lees ook: 

Op de Universiteit Maastricht is na de cyberaanval weer ruimte voor een grapje

De hervatting van het onderwijs op de Universiteit Maastricht verloopt soepel. De cyberaanval waarmee op kerstavond de ICT-systemen van de universiteit werden geschonden, stelt veel studenten voor een probleem. Toch reageren zij rustig.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden