Universiteit Maastricht heeft meeste systemen weer online na ransomwareaanval

De meeste belangrijke systemen van de Universiteit Maastricht zijn weer operationeel na de ransomware-infectie van vorige maand. Sinds maandag kunnen studenten en medewerkers de printers en de vpn-dienst weer gebruiken.

Studenten kunnen sinds maandagochtend weer printen, kopiëren en scannen vanaf de computers in het gebouw, schrijft de universiteit op haar website. Ook werkt het printen vanaf de portal weer. Medewerkers van de universiteit kunnen gebruikmaken van de vpn, waardoor zij op afstand kunnen inloggen; studenten kunnen de Student Desktop Anywhere gebruiken om op afstand te werken.

Nog niet alle systemen werken, waarschuwt de universiteit. Er is een speciale website opgezet waarop te zien is welke functies wel en welke niet werken. Zo is het nog niet mogelijk voor studenten om online onderwijsruimtes te reserveren, of voor medewerkers om dat voor vergaderruimtes te doen. "Tegelijkertijd kan een systeem soms traag werken, plotseling afsluiten of anderszins niet beantwoorden aan de standaarden die de UM-gemeenschap gewend is. Dit vraagt nog wat geduld van iedereen en begrip voor de collega’s die dagelijks hard aan de slag zijn voor ons", schrijft de universiteit.

De Universiteit Maastricht werd op kerstavond getroffen door een grote ransomwareaanval. Daardoor waren computers en systemen lange tijd niet te gebruiken. Het onderwijs werd op 6 januari hervat, zonder veel problemen. Voor zover bekend zijn er weinig belangrijke systemen of bestanden verloren gegaan. Er gaan diverse geruchten dat de universiteit meer dan twee ton aan losgeld heeft betaald om de systemen te ontgrendelen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 27-01-2020 15:4532

27-01-2020 • 15:45

32 Linkedin

Lees meer

Universiteit Maastricht maakt 'winst' na retour ransomware-crypto-losgeld Nieuws van 2 juli 2022
Universiteit Maastricht: Bedrijven moeten in openbaarheid treden over ransomware Nieuws van 22 mei 2020
Universiteit Maastricht betaalde 197.000 euro losgeld voor ransomwareaanval Nieuws van 5 februari 2020
'Ransomware infecteerde ook back-upserver van Universiteit Maastricht' Nieuws van 24 januari 2020
Netwerk van Universiteit Maastricht deels operationeel na grote ransomwareaanval Nieuws van 7 januari 2020
Universiteitsblad: Universiteit Maastricht betaalde losgeld na ransomwareaanval Nieuws van 2 januari 2020
Onderwijs Universiteit Maastricht wordt 6 januari hervat na ransomware-infectie Nieuws van 30 december 2019
Universiteit Maastricht heeft contact met ransomware-aanvallers en doet aangifte Nieuws van 27 december 2019
Deel diensten Universiteit Maastricht offline door Clop-ransomware - update 2 Nieuws van 24 december 2019
Meer producten en artikelen
Beveiliging en antivirus Ransomware

Reacties (32)

-Moderatie-faq
32
30
23
2
0
5
Wijzig sortering
bbob
27 januari 2020 16:06
De vraag is nu wat hebben of gaan ze doen om dit te voorkomen. De vraag is of de backups die teruggezet worden wel veilig zijn of dat hier nog steeds malware in is blijven zitten.

Zou denk ik ook handig zijn voor andere instellingen en bedrijven te leren uit de fouten, hoe dit heeft kunnen gebeuren en wat je in de toekomst kan doen om dit te voorkomen. Daar kunnen ze al uni vast een leuk project van maken.
Houtenklaas
@bbob27 januari 2020 16:10
Daar is vast over nagedacht door documenten met bekende extensies er uit te trekken en alles wat executable lijkt, batchfiles, scripting en dat soort bestanden eruit worden gefilterd. Van deze ellende is vast wel iets geleerd ... Ben trouwens erg benieuwd naar dat symposium van 5 februari aanstaande waarin de UM meer openheid zal geven!

[Reactie gewijzigd door Houtenklaas op 27 januari 2020 16:11]

palexander
@bbob27 januari 2020 22:59
Als het sporadisch voorkomt kan het aantrekkelijker zijn om geld te reserveren voor criminelen dan het inrichten van een veilige omgeving.
bbob
@palexander28 januari 2020 10:16
Zou kun je het zien maar je weet nooit wat de criminelen vragen. Daarnaast blijft het de vraag vandaag de ene groep morgen de andere groep. Volgend jaar weer een andere.
Sterker nog als je bewust de keuze zou maken onveilig te werken omdat het uiteindelijk goedkoper is, ben je toch verkeerd bezig. Naast geld heb je maken te maken met imago schade, dat is moeilijk in geld uit te drukken.
sumac
@palexander28 januari 2020 20:46
Dat is een aantrekkelijk scenario voor die ene groep die geen geld wil, maar sabotage. Die versleutelen de boel, vragen mogelijk nog wat bitcoins, maar sturen nooit een ontgrendel-sleutel. In de huidige wereld is dat niet ondenkbaar. Genoeg groepen willen maar al te graag dat de westerse maatschappij op z'n gat komt te liggen. Het kan natuurlijk geen kwaad wat geld te reserveren, maar als het om die twee ton gaat waarover hier gesproken wordt, dan is dat weer niet de moeite voor een grote organisatie als de UM.
Arjan_25
27 januari 2020 16:35
Dit is ook precies waarom het IT vak me steeds meer tegen gaat staan. Je kunt als IT afdeling nog zoveel hekjes opzetten om dit tegen te houden maar op een gegeven moment laat een gebruiker de voordeur open. En als IT afdeling krijg je dit op je brood en ben je dus meer dan een maand bezig alles weer up and running te krijgen.
OxWax
@Arjan_2527 januari 2020 16:40
Dit is ook precies waarom het IT vak me steeds meer tegen gaat staan. Je kunt als IT afdeling nog zoveel hekjes opzetten om dit tegen te houden maar op een gegeven moment laat een gebruiker de voordeur open. En als IT afdeling krijg je dit op je brood en ben je dus meer dan een maand bezig alles weer up and running te krijgen.
Wat gewoon (deel van ) je job is ...
Carlos93
@OxWax27 januari 2020 17:07
Ja en nee, al die extra uren die er in gaan zitten (waarbij sommige werkgevers zelf moeilijk doen over de extra salariskosten, en vinden dat je dit in je eigen tijd moet doen, tenminste uit eigen ervaring) ligt het er maar net aan of er buiten de gebruikelijke zaken nog tijd is voor dit soort dingen.
Snow_King
@Carlos9327 januari 2020 21:00
De perfecte wereld bestaat niet. In elke sector vinden mensen dat ze te weinig tijd krijgen voor de dingen die er in hun vak écht toe doen.

In de zorg, de bouw, het onderwijs, politie, brandweer, etc, etc.
RobbieB
@Arjan_2527 januari 2020 18:23
Assume breach.
Je moet er ten alle tijden vanuit gaan dat een gebruiker de voordeur een keer open laat staan.
Als daarna je hele netwerk plat komt te liggen heb je als IT afdeling toch echt zelf iets fout gedaan...
borbit
@RobbieB27 januari 2020 19:03
Waar de voordeur absoluut niet open mag blijven moet je een sluis gebruiken.
RobbieB
@borbit27 januari 2020 20:59
Niet alleen een ‘sluis’. Defense is in Depth (om er nog maar eens een cliché begrip tegen aan te gooien).
In het geval van kroonjuwelen moet je zorgen dat je zowel je preventieve en detective maatregelen op orde hebt. Zorg voor een adequate respons strategie mocht er toch iets mis gaan. Tenslotte moet je altijd zorgen dat je voldoende recovery maatregelen in place hebt. Er zijn niet voor niks tal van frameworks beschikbaar die hier best practices voor uitgewerkt hebben.
In het geval van Maastricht hebben er wel meerdere controls gefaald:
- initiële infectie niet gedetecteerd
- laterale bewegingen niet gedetecteerd
- backups niet geïsoleerd
- alles wat we nog meer niet weten.

Dus zorg dat je goed zicht hebt op al je maatregelen en weke risico’s daar nog aanwezig zijn... Het is duidelijk dat MU dit niet had. (Of wel en teveel risico heeft genomen).
kodak
@Arjan_2527 januari 2020 18:11
Als je je gebruiker de schuld gaat geven dat een groot deel van je infrastructuur getroffen is lijkt me dat je je eerst afvraagt of je hekjes wel goed stonden en waarom dat acceptabel was. En liever weet je dat al aan te geven voordat je infrastructuur door zoiets als ransomware is getroffen.
Roman_Craig
@kodak28 januari 2020 13:45
Vergeet niet dat management ook gebruikers zijn. Als die IT stelselmatig 'overrulen' en de sleutels van de hekjes aan iedereen uitdelen...
Je kunt als IT veel willen, als het management risico's niet serieus neemt of prioriteit geeft aan andere zaken die veel interessanter zijn om zichzelf te profileren, tja..
StefZ
27 januari 2020 16:06
Hopelijk zorgt dit incident voor meer bewustwoording over de risico's van digitalisering en komt er meer budget vrij voor het goed opzetten van digitale omgevingen. Goed beheer en overzicht houden blijft lastig en vergt kennis en ervaring.

UM zal helaas niet de laatste zijn.
Cergorach
@StefZ27 januari 2020 16:15
Er zijn niet meer risico's met digitalisering, er zijn andere risico's. In het verleden had je puur papierwerk en dat kon branden, waterschade krijgen of gestolen worden. En dat koste minder kennis en kunde dan wat er hier is gebeurd.

Het issue hier is dat er niet goed is nagedacht over consequenties en mogelijkheden op verschillende vlakken. Dergelijke issues zouden ook spelen bij de fysieke beveiliging van niet-digitale data...
Erka56
@Cergorach27 januari 2020 17:27
Er zijn juist wel meer risico's.

Voor je digitale omgeving gelden nog steeds dezelfde risico's als papierwerk.
Ik heb meerdere data center branden gezien, en als een argon blus installatie zijn werk niet doet komt er opeens toch water te pas.
En niet te vergeten de backup's die recentelijk nog gestolen waren van verzekeraar Allianz.

Dus naast de fysieke risico's zijn er nu ook digitale risico's.
murkienl
@StefZ27 januari 2020 16:13
Maar ook in de ideale wereld ben je niet immuun voor dit soort zaken. Je kan je goed wapenen maar er bestaat altijd een kans dat je toch geraakt wordt, zij het in minder omvangrijke mate.

Maar er vanuit gaan dat je niks kan gebeuren als je overal denkt bovenop te zitten is niet realistisch.
Er is ook niks zinnigs te zeggen over hoe goed ze hun zaken wel of niet op orde hadden bij de Universiteit als je het mij vraagt.
er0mess
@StefZ27 januari 2020 17:03
Nu ze (het) losgeld hebben betaald zullen ze zeker niet de laatste zijn idd...
Aaargh!
27 januari 2020 16:08
Kan iemand die hier meer vanaf weet me uitleggen hoe zoiets zich over alle systemen van een universiteit kan verspreiden. Of anders: waarom kan een stuk malware dat op 1 machine draait zomaar vergaande rechten krijgen op alle andere machines in een netwerk ?
andyy
@Aaargh!27 januari 2020 16:22
Ze zullen waarschijnlijk persoonlijke DA accounts hebben met wachtwoorden die niet gewijzigd worden. Pwn 1 systeem waar de hash in het geheugen zit en je hebt alle domain joined computers te pakken.
zzz16
@andyy27 januari 2020 16:29
Net eff google geraadpleegd. klopt idd dat er zoveel mogelijk info wordt verzameld waarmee het netwerk in beeld wordt gebracht. Linkje
Voorbeelden:
We’ve seen this happen with every major malware strain out there:

CryptoLocker 2: which collected email addresses from the infected PC so they could be used in later spam campaigns;
CoreBOT: which is capable of retrieving information about the PC that fell victim and send it to C&C servers controlled by cyber criminals;
TeslaCrypt 4.0: that leaks the infected computer’s Windows operating system key, its unique identifier (MachineGuid) and more, while also enrolling the machine into a botnet;
CryptoWall 4.0: able to steal credentials through the Pony infostealer, which is usually the first payload dropped onto infected systems.
OxWax
@Aaargh!27 januari 2020 16:42
Begin (5?) Feb is Tweakers op het symposium waar alles wordt uitgelegd.
Dan gaan we weten, wie hoe wat.
kodak
@Aaargh!27 januari 2020 19:40
Zolang de universiteit niet aangeeft wat er werkelijk is gebeurt blijft het raden naar de mogelijke oorzaken. In het algemeen valt er wel uit te leggen hoe de basis van beveiliging en malware werkt maar de details hangen van de situatie af. Als je er in het algemeen meer van wil weten hoe malware zich kan verspreiden kun je de vragen beter stellen in het Privacy & Beveiliging forum.
Californication
27 januari 2020 18:14
En gedokt en nog niet geheel alles op de lijn....
wvexeltweakers
28 januari 2020 21:20
Vraag me af wat de mogelijke schade wordt, als dit bij de Belastingdienst of bijvoorbeeld een grote energieleverancier zou lukken. Moet je niet aan denken.
KatirZan
@vinkjb27 januari 2020 16:37
Je had ook deze reactie kunnen plaatsen :

Door onoplettendheid van 1 van de gebruikers van het netwerk is helaas het netwerk geinfecteerd geraakt met ransomware.

Ongeacht de beveiliging op je systeem is een dergelijke ransomware actie altijd mogelijk, zelfs de best beveiligde dichtgetimmerde systemen zijn te infecteren met dergelijke zaken.
Verder
@KatirZan27 januari 2020 16:55
Volgens mij is de kern van zijn bericht, dat door ransom te betalen het business model voor deze criminelen in stand wordt gehouden. Naar mijn idee een zeer terecht punt. De korte termijn belangen van één organisatie zijn daarmee een bedreiging voor de maatschappij op de lange termijn. Criminaliteit loont hier namelijk overduidelijk en overtuigend.

Wat mij betreft mag er best wel een discussie gevoerd worden of wij het betalen van deze losgelden wel moeten toestaan.
1nsane
@Verder27 januari 2020 17:40
Zolang er partijen zijn die dit verzekeren en het losgeld goedkoper is dan het met behulp van engineers oplossen, zal dit blijven bestaan.
Raydo88
@Verder27 januari 2020 19:27
Ik zou de onderzoeksdata die naar verluidt verloren dreigden te gaan (veelal verkregen via publiek gefinancierd onderzoek) niet kwalificeren als 'kortetermijnbelangen van één organisatie'.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee