Hackaanval Universiteit Maastricht 'schot hagel dat te voorkomen was'
De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Hoewel het nog onduidelijk is hoe de hackers het netwerk konden infecteren met zogenoemde gijzelsoftware zijn deskundigen niet verbaasd door de aanval. Er valt nog wel wat te winnen bij universiteiten als het gaat om beveiliging tegen hackaanvallen.
Cybercrime-deskundige Rickey Gevers denkt niet dat de Maastrichtse universiteit doelbewust is uitgekozen. "Iedereen kan hier het slachtoffer van worden", zegt hij.
Gevers legt uit dat 'ransomware' de afgelopen jaren steeds populairder is geworden onder hackers. "Het is een business-model. Vroeger zag je dat ze één computer versleutelden en dat leverde soms een paar honderd euro aan losgeld op. Dat werkte goed, waardoor ze zich nu meer richten op bedrijven en organisaties. Daarbij is het losgeld al snel enkele tonnen."
Niet zelden wordt dat betaald. Gevers: "Want als bijvoorbeeld een oliebedrijf wordt platgelegd, kost dat miljoenen per dag. Dan is betalen de goedkoopste optie."
25 IT'ers werken dag en nacht
De Universiteit Maastricht is wel in gesprek met de hackers, maar lijkt vooralsnog niet bereid aan hen toe te geven. Er is gisteren aangifte gedaan en volgens universiteitsblad Observant is er sinds dinsdag een team van zo'n 25 IT-experts dag en nacht bezig om de aanval te ontmantelen.
De woordvoerder van de universiteit spreekt over de gevolgen van de ransomware-aanval:
Dat er zo veel mensen nodig zijn, verbaast cyberdeskundige Gevers niet. De Clop-ransomware waarmee de hackers de universiteitscomputers hebben geïnfecteerd, treft het hele netwerk in plaats van een individuele computer. De universiteit denkt dat er daardoor misschien wel tot 600 IT-systemen getroffen zijn.
Met dezelfde ransomware werd in oktober ook de universiteit van Antwerpen getroffen. Gevers denkt dat het toeval is dat er twee universiteiten in korte tijd zijn geraakt. "Je moet bedenken dat er misschien een hacker in Oekraïne of Rusland zit en die verstuurt honderdduizenden mails", zegt hij. "Vervolgens kijken ze wat het heeft opgebracht. Als dan blijkt dat bijvoorbeeld een medewerker van de universiteit van Maastricht op de link in de mail heeft geklikt, is dat interessanter dan een thuiscomputer."
Je bent overgeleverd aan de grillen van de hackers.
Beveiligingsonderzoeker Sijmen Ruwhof omschrijft het als een schot hagel. "Na dat schot kijken ze wat ze hebben geraakt. Op de interessantste zaken gaan ze handmatig focussen."
Hij vermoedt dat in Maastricht ook de back-upsystemen zijn geïnfecteerd door de ransomware, waardoor het meer tijd kost de problemen te verhelpen. "Anders kun je het mogelijk oplossen met de herstelbestanden die niet zijn geïnfecteerd. Als die ook zijn aangetast, ben je eigenlijk overgeleverd aan de grillen van de hackers."
Niet voldoende geanticipeerd
Met een aantal maatregelen is een aanval zoals bij de Universiteit Maastricht te voorkomen, zegt Ruwhof. "Bijvoorbeeld door je netwerk op te delen in segmenten, als een soort kasteel met meerdere verdedigingslinies. Of door zo weinig mogelijk mensen beheerrechten te geven in je netwerk. En uiteindelijk begint het met goede securityspecialisten in je bedrijf. Daar is alleen een nijpend tekort aan en de beste specialisten zitten vaak niet in de staf van een universiteit."
Hij ziet in de dagelijkse praktijk zodoende dat universiteiten vaak relatief kwetsbaar zijn voor hackaanvallen. "Meestal hebben ze niet veel geld om te investeren in cyberveiligheid. Daardoor lopen ze achter in vergelijking met bijvoorbeeld banken", aldus Ruwhof. "Dit incident is superpijnlijk voor de Universiteit Maastricht, maar het was wel te voorkomen. Er is niet voldoende op geanticipeerd en daar betalen ze nu de prijs voor."