Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Universiteit Maastricht: Bedrijven moeten in openbaarheid treden over ransomware

Bedrijven en instellingen die slachtoffer worden van ransomware zouden daarover meer in de openbaarheid moeten treden, zeggen de Universiteit Maastricht en wetenschapsinstituut Wetsus. De instituten werden zelf slachtoffer van gijzelsoftware, en roepen bedrijven op daarover te praten.

Instellingen die meer vertellen over hoe zij slachtoffer zijn geworden kunnen anderen daarmee helpen. Ransomware-infecties moeten 'uit het verdomhoekje' komen, zegt ict-directeur Jacques Beursgens van de Universiteit Maastricht tegen het programma De Kennis Van Nu. Hij verwijst daarbij naar de Universiteit van Antwerpen, die op dezelfde manier door ransomware werd getroffen als zijn eigen universiteit, door vermoedelijk dezelfde criminelen. "Als informatie over die infectie in internationaal verband beter was gedeeld hadden wij ons daar beter tegen kunnen wapenen."

Volgens Beursgens zijn er nog te veel bedrijven die een infectie liever stil houden. "Wij hebben het heel open gedeeld met de wereld, maar je ziet nog steeds dat de rolluiken naar beneden gaan bij bedrijven die dit dagelijks overkomt." Beursgens zegt dat bedrijven zich bij andere bedrijven moeten voegen die worden getroffen. "Maar help elkaar."

Naast de Universiteit Maastricht werd ook wetenschappelijk onderzoeksinstituut Wetsus onlangs getroffen door ransomware. Het bedrijf zegt daarmee naar buiten te zijn gekomen 'om mensen te waarschuwen'. "Je kunt jezelf van alles verwijten, maar van de andere kant is dit een risico dat levensgroot is voor iedereen", zegt algemeen directeur Johannes Boonstra tegen het tv-programma. "Als het je overkomt, wees dan goed voorbereid zodat je niet zoals wij moet overleggen met criminelen."

Zowel de Universiteit Maastricht als Wetsus betaalden het losgeld voor de aanval. Bij de eerste ging het om een bedrag van 30 bitcoins, destijds 197.000 euro. Wetsus wil niet zeggen hoeveel het betaalde. Wel zegt het instituut dat het bedrag 'lager was dan de schade als we niet zouden betalen'.

De universiteit trad later tijdens een symposium naar buiten met meer informatie over de aanval. De universiteit zei toen al zoveel mogelijk openheid van zaken te willen geven om andere onderwijsinstellingen en bedrijven te waarschuwen en te laten leren van de situatie.

Door Tijs Hofmans

Redacteur privacy & security

22-05-2020 • 17:18

53 Linkedin

Reacties (53)

Wijzig sortering
Heeft deze Jacques Beursgens last van een selectief geheugen?
Universiteit Maastricht heeft het pas "heel open" gedeeld met de wereld nadat er naar de pers gelekt was wat de oorzaak was van de ICT problemen binnen de Universiteit. Met andere woorden, toen ze geen keus meer hadden. Anders hadden ook zij het zo lang mogelijk onder de pet proberen te houden. Jezelf dan later nog een schouderklopje geven hoe goed je het gedaan hebt, vind ik dan ook niet echt gepast.
Universiteit van Antwerpen maakte eind oktober bekend Clop aanval te hebben.

nieuws: Universiteit Antwerpen is getroffen door Clop-ransomware

Schijnbaar heeft deze communicatie en 1,5 maand de tijd niet geholpen voor Maastricht.

nieuws: Deel diensten Universiteit Maastricht offline door Clop-ransomware - ...
Heb je daar ook een bron of bewijs van? Het lijkt mij nooit in je voordeel om tijdens een aanval heel open te zijn. Achteraf, als je zeker bent dat de aanval voorbij is, dan is het pas veilig om openheid van zaken te geven, lijkt mij.
en waar staat dat in die "bron"?
1.
Universiteit wordt aangevallen op 23 december.

2.
Op 24 december een persbericht Universiteit waarin ze melden dat ze worden aangevallen waardoor bijvoorbeeld de mailservice hinder ondervindt maar geen enkele melding van de type aanval.
https://www.maastrichtuni...s/cyber-attack-against-um

2.
Later op de dag meldt een tweaker op een semi-privé deel van het forum dat het zou gaan om een ransomware-aanval.

3.
Hierna bevestigt een woordvoerder van de universiteit pas dat het inderdaad om een ransomware-aanval gaat.
Dus, dat is op vrij kort tijdsbestek gebeurt. En uit dat alles haal jij die conclusie. Ik ben blij dat jij geen rechter, onderzoeksrechter of wat dan ook bent.

Al is het maar omdat officiële communicatie een andere weg aflegt dan iemand die een forumpost gaat posten. Maar daar weet jij blijkbaar alles van.
Toch heeft hij wel een punt. Ik durf te wedden dat heel veel onderwijsinstellingen hun beveiliging nog een keer nagelopen hebben toen de situatie bij Uni Maastricht bekend werd.
Denk overigens niet dat andere bedrijven en instellingen niet kwetsbaar zijn en delen van gebruikte kwetsbaarheden kan dan wel degelijk helpen.
Dat is een aanname die je doet, of heb je daar ook bewijs voor?
Ja, en dan kom je er achteraf bij de evaluatie achter dat het beter had gekund. Voortschrijdend inzicht heet dat.
Ik heb het destijds best goed gevolgd maar kan me dit niet goed herinneren, heb je hier ergens een bron van? Ik heb het idee dat ze al best snel voor openheid gingen, maar misschien heb ik iets gemist.
Tja, misschien had hat beter gekund, maar ik ken geen andere organisaties die zo open zijn geweest.
Volgens mij blaf je tegen de verkeerde boom en is Maastricht nu net een van de eerlijkere clubs. Binnen hoeveel dag Maastricht in de publiciteit treden?
Van andere organisaties hoor je nooit wat, terwijl we weten dat dit soort zaken regelmatig spelen.
Ik ben zelf student aan de Universiteit Antwerpen (UA), ik kan mij voorstellen dat de UA niet zo heel veel informatie over de ransomware heeft gedeeld omdat het niet zo'n grote impact heeft gehad op de UA.
Zover wij weten (en misschien wat je kon afleiden uit de informatie) is er niet betaald door de UA.
Als student was de grootste impact waarschijnlijk dat er een tijdje (1 dag) spraken was dat we niet zouden kunnen betalen in de studentenrestaurants. Voor de administratieve afdeling was er wel een grotere impact.
Op minder dan 6 dagen was alle infra die invloed heeft op de studenten terug operationeel.
Ik heb hier al eens wat extra info gegeven: LEDfan in 'nieuws: Deel diensten Universiteit Maastricht offline door Clop-ra...
Moeten de universiteit die het verkeerd heeft gedaan nodig zeggen. Betalen aan ransomware is mijns inziens crimineel gedrag. Ga dan vooral lopen verkondigen "hoe het wel moet." En het is al helemaal erg dat zij ons belastinggeld eraan hebben besteed.

[Reactie gewijzigd door Trommelrem op 22 mei 2020 17:36]

Tegelijkertijd, als zij NIET betaald zouden hebben zou er flink wat werk van studenten en onderzoekers verloren zijn geraakt - die vertegenwoordigen ook flink wat geld. Plus dat het langer duurt voor ze weer volledig up&running waren geweest, waardoor dingen nog meer vertragen of verloren gaan.

Het is achteraf een kosten/baten-analyse: wat kost het om de afpersers te betalen? En wat kost het om het niet te doen? In beide gevallen is het belastinggeld, ik hoop dan ook dat ze de keus gemaakt hebben voor wat het minste belastinggeld kostte.

En achteraf is het makkelijk praten: ze hadden van tevoren de beveiliging & back-up beter op orde moeten hebben, dan had het wellicht minder belastinggeld gekost (en zelfs dat weet je niet zeker... minder IT-werk, minder kosten voor een back-up, als je dat lang genoeg zonder inbraak voor elkaar krijgt scheelt dat ook geld)
Tegelijkertijd, als zij NIET betaald zouden hebben zou er flink wat werk van studenten en onderzoekers verloren zijn geraakt - die vertegenwoordigen ook flink wat geld. Plus dat het langer duurt voor ze weer volledig up&running waren geweest, waardoor dingen nog meer vertragen of verloren gaan.
Ja, dat geld was dan gegaan naar onderzoek (ook al is het redundant op dit punt) en niet naar criminelen die het investeren in het kopen van nieuwe zeroday lekken om nóg meer slachtoffers te maken.
Het is achteraf een kosten/baten-analyse: wat kost het om de afpersers te betalen? En wat kost het om het niet te doen? In beide gevallen is het belastinggeld, ik hoop dan ook dat ze de keus gemaakt hebben voor wat het minste belastinggeld kostte.
Wat een egoïstische en vooral kortzichtige manier om er naar te kijken. Niet alleen geef je de criminelen meer resources om nog harder en grootschaliger toe te slaan, je richt ook alle pijlen op jezelf omdat je aangeeft bereid te zijn tot betalen.
En achteraf is het makkelijk praten: ze hadden van tevoren de beveiliging & back-up beter op orde moeten hebben, dan had het wellicht minder belastinggeld gekost (en zelfs dat weet je niet zeker... minder IT-werk, minder kosten voor een back-up, als je dat lang genoeg zonder inbraak voor elkaar krijgt scheelt dat ook geld)
Al decennia wordt er geroepen om IT beveiliging in iedere branche. Dit is niet 'achteraf makkelijk praten', dit is 'ik zei het toch'.
Wat een egoïstische en vooral kortzichtige manier om er naar te kijken. Niet alleen geef je de criminelen meer resources om nog harder en grootschaliger toe te slaan, je richt ook alle pijlen op jezelf omdat je aangeeft bereid te zijn tot betalen.
Laten we wel even duidelijk houden dat de echte criminelen de aanvallers waren en deze universiteiten de slachtoffers. Iedereen roept altijd dat je niet zou moeten betalen bij een gijzeling en dat weten de slachtoffers dus ook wel, maar de aanvallers ook. Gijzelingen en ransomware zijn zo populair omdat de slachtoffers in praktijk niks te kiezen hebben. Ze worden in een positie gebracht waar ze enorm veel ellende kunnen voorkomen door een relatief klein bedrag te betalen.
Je moet er niet aan denken dat 10.000 studenten een jaar studievertraging krijgen, de ellende en de kosten die daar bij zouden komen kijken.
[...]

Je moet er niet aan denken dat 10.000 studenten een jaar studievertraging krijgen, de ellende en de kosten die daar bij zouden komen kijken.
Ik snap niet waarom je die bal bij de studenten neerlegt. De school is zelf tekort geschoten en criminelen betalen is gewoon geen optie. Dan blijft over: tijdelijke krachten aantrekken om administratie in te halen, met de docenten aan tafel om verloren tijd in te halen of anderszijds te besteden, etc. Er zijn legio oplossingen waarmee je niet meebetaalt aan de ondergang van een andere hogeschool, universiteit, MKB of ziekenhuis.
Ben je ook zo stellig als je familieleden gekidnapt worden omdat je (hypothetisch) veel geld* hebt? (*iets van waarde)

Natuurlijk had de ICT beveiliging beter geregeld moeten zijn, desondanks dat zijn er altijd (nieuwe) manieren die te omzeilen en met honderden cursussen anti-social engineering komt het nog steeds voor dat er een flapdrol is die een foutje maakt.

In het artikel staat duidelijk dat het meer had gekost als ze niet hadden betaald.
Daar zijn verzekeringen voor, en die krijg je niet afgesloten als je niet aantoonbaar maatregelen aanbrengt om de risico's hierop te verkleinen.

De vergelijking van ontvoering ga ik niet eens op in, want die loopt gigantisch scheef. Ontvoerders kopen doorgaans geen betere wapens en voeruigen om nóg meer en belangrijkere mensen te ontvoeren.
Nergens in de wet staat dat betalen crimineel is, dus je verhaal klopt niet.

Tevens wat als ze niet betaald zouden hebben en veel, zo niet alle gegevens kwijt zouden zijn. Wat had je dan gezegd, zeker als je zelf slachtoffer zou zijn?

De hoeveelheid belastinggeld stelt niks voor.

De hoeveelheid over de balk gejaagd belastinggeld wegens mislukte ict projecten bij de ambtenarij is vele malen groter.
Ik stel duidelijk dat het mijn mening is dat betalen aan ransomware gelijk staat aan crimineel gedrag. Ik denk wel dat velen die mening met mij delen.

Een boef geld geven is behalve belonen ook gewoon onethisch.

Los daarvan: Via een ticket bij Microsoft kun je gewoon een snapshot terughalen van je Exchange Online en je SharePoint. Een week aan data kwijt is mijns inziens minder erg dan een boef geld geven. Het is aan het publiek niet uit te leggen dat je een boef sponsort omdat je de allerlaatste week aan data niet kwijt wilt raken.

[Reactie gewijzigd door Trommelrem op 23 mei 2020 00:28]

Ik stel duidelijk dat het mijn mening is dat betalen aan ransomware gelijk staat aan crimineel gedrag. Ik denk wel dat velen die mening met mij delen.
Het probleem is dat het om afpersing gaat. De gene die betaald staat onder druk. Moeten een cassière van de plaatselijke supermarkt ook maar afgestraft worden omdat ze de kassalade opent voor een overvaller.? Zo nee, waar ligt dan wel de grens?

//edit
oeps, spuit 11

[Reactie gewijzigd door necessaryevil op 24 mei 2020 01:01]

Los daarvan: Via een ticket bij Microsoft kun je gewoon een snapshot terughalen van je Exchange Online en je SharePoint. Een week aan data kwijt is mijns inziens minder erg dan een boef geld geven. Het is aan het publiek niet uit te leggen dat je een boef sponsort omdat je de allerlaatste week aan data niet kwijt wilt raken.
Dan ga je er wel even van uit dat de tijd een week terugdraaien voldoende is. Volgens mij zaten de criminelen al véél langer in de systemen van de Universiteit Maastricht, lees al maanden. een week terug zal inderdaad weinig problemen opleveren, 6 maanden terug wel.
Je kunt nog zoveel maatregelen getroffen hebben, vaak is betalen de snelste en goedkoopste optie.

Het terugzetten van backups, opnieuw synchroniseren van data en processen etc. De tijd die daar over heen gaat en de business die je in die tijd mist wegen vaak niet op tegen de kosten. Dan is betalen en tegelijkertijd patchen en maatregelen treffen vaak de goedkoopste oplossing vanuit een business perspectief. En zolang het nog niet strafbaar is, gaan bedrijven dit blijven doen. Dus je kunt het ‘crimineel gedrag’ vinden, volgens de wet is dat niet zo...

Interessant artikel hierover:
https://www.volkskrant.nl...-wordt-gehackt~bf580bf6//

[Reactie gewijzigd door RobbieB op 22 mei 2020 17:54]

Het was gewoon een belletje naar Microsoft. Exchange Online heeft gewoon daily backups die je via een ticket kunt laten terugzetten.
Er zijn tegenwoordig voor bedrijven veel EPP's die hier op voorbereid zijn, die ransomware tegengaan en stoppen, en zelfs na infectie met een druk op de knop de infected machines vrij maken van de aanval.

probleem is, is dat wanneer je bedrijven hiermee informeert of dit probeert te verkopen het vaak hetzelfde liedje is. te duur. geen tijd. niet in de planning. noem het maar op. Men hoort nog veels te vaak "bij ons valt niets te halen" of "wij zijn al beschermd" terwijl ze dat niet waar is.

Zelfs na aanschaf van dergelijke software, is het vaak een zeer lange uitrol procedure van de software tot soms wel jaren.
Het probleem is vaak niet de onwelwillendheid van de IT medewerkers van zulke bedrijven, maar ergens hogerop in de ladder word er geen tijd/budget/planning vrij gemaak om bedrijven te beschermen.
Betalen aan ransomware is mijns inziens crimineel gedrag.
Zo ver zou ik niet willen gaan, maar helemaal met je eens dat betalen niet echt handig is. Zo verstrek je de criminelen die dit flikken namelijk van de fondsen en de motivatie om ermee door te gaan.
Maarja 'moeten zij nodig zeggen' is natuurlijk een vrij kort door de bocht reden om iets te verwerpen. Als het nou iets geks was om te zeggen, maar je kan toch achteraf in zien dat er iets moet veranderen? Juist als zoiets bij je is gebeurd heb je daar info over, dus waarom zou je het dan wegwuiven met 'Maar het is bij hun gebeurd'. Als je wilt weten hoe iets is, en opgelost kan worden, dan vraag je dat aan degene die het heeft meegemaakt, niet aan de person waar dat een ver van zijn bed show voor is.
Betalen aan ransomware is mijns inziens crimineel gedrag.
Het is makkelijk zat om slachtoffers ook nog eens de schuld te geven. Als ik op straat word bedreigd door een overvaller met een revolver, dan ga ik ook netjes mijn portefeuille afgeven. Steun of doe ik dan ook crimineel gedrag? Moet ik dan lekker stoer tegen de overvaller zeggen: "Ik geef je mijn geld niet, want dan beloon ik jouw crimineel gedrag?" En met een kogel in mijn hoofd eindigen? Ik begrijp bedrijven die betalen aan makers van ransomware. Beter betalen dan failliet gaan. Even de bittere pil slikken en de nodige lessen trekken qua beveiliging.
Eigen geld is wat anders dan belastinggeld. Niet te vergelijken dus.
Waarom is dat crimineel gedrag volgens jou? Als er fysiek wordt ingebroken en de schade wordt gerepareerd, is dat ook crimineel gedrag? Ik vind het nogal een uitspraak dat je doet.
Je schenkt geld aan een criminele organisatie. Los van het feit dat daarover geen BTW wordt afgedragen houd je ook een criminele organisatie in stand.
Geld schenken aan een groep criminelen is niet strafbaar, dus geen criminele daad.

Los daarvan, wat had jij dan gewild? Dat ze het niet betaalden en veel informatie kwijt waren en daarmee nog meer gemeenschapsgeld?
Inderdaad, dat had moeten gebeuren!

Beter nog: het kabinet zou hen en alle andere (semi-) overheidsinstellingen direct moeten hebben verboden om te betalen. Dan was dit gelijk ook de laatste keer geweest dat zoiets gebeurt. Nu hebben al deze instellingen een target op hun rug.
het verspreiden van ransomware is veelal met hagel schieten dus all die instellingen zijn er vroeg of later toch wel doelwit ervan, het betalen van het losgeld verhoogt de kans met een verwaarloos percentage.

Is het slim om te betalen, sowieso niet, maar als het niet anders meer kan omdat de kosten van herstel vele malen meer zijn of er dingen tussen zitten die gewoon niet meer vervangen kunnen worden, of het gewoon onmogelijk is, dan is het helaas niet anders.

En de hele ransomware industrie draait op het ere systeem, als ze dezelfde persoon gewoon weer infecteren en weer een hoog bedrag vragen dan is het betalen in de eerste plaats al geen rendabele optie, net zoals de maffia bescherming geld vraagt en ze later toch je tent aan puin slaan, kan je net zo goed in de eerste instantie al doei zeggen, en lopen ze miljoenen mis.

[Reactie gewijzigd door dakka op 23 mei 2020 02:16]

bedrijven die dit dagelijks overkomt
Als dit je dagelijks overkomt kan je je toko wel sluiten ;)
Of eens denken hoe goed je eigen beveiliging/firewall situatie is.

Als dit dagelijkse kost is, klopt er volgens mij echt iets niet...
Iets zegt me dat het verkeerd is opgeschreven. Er zal bedoeld zijn dat het dagelijks voorkomt bij bedrijven (in het algemeen, niet bij een individueel bedrijf).
Zo zal het zeker niet bedoeld zijn nee ;) Althans, dat mag ik hopen :P
Hij zegt:
"Maar je ziet nog steeds, dagelijks dat bedrijven die dit overkomt, dan gaan de rolluiken naar beneden."
~23:23 https://www.dekennisvannu...nnis-van-Nu/VPWON_1308687
(Ik snap best dat dat als citaat niet verbatim in het artikel terecht is gekomen, want het is bepaald geen mooie zin. Maar goed, daar ga ik niet over.)

[Reactie gewijzigd door zonder.h op 22 mei 2020 17:45]

Er is nog een andere reden om direct in de openbaarheid te treden: op het moment dat je getroffen bent door ransomware is er dus een malware op een diepe laag in je software geïnfiltreerd. Deze malware kan ook eventueel persoonsgegevens hebben gescraped en verzonden naar de afzender zonder dat de instelling zich daarvan bewust is.

Het is heel lastig na te gaan of dit al dan niet is gebeurd bij een besmetting, maar als besmetting heeft plaatsgevonden dan lijkt het me uit voorzorg goed om dit te melden juist omdat er wellicht ook persoonsgegevens (al dan niet in groten getale) zijn gelekt.
Als mijn bedrijf slachtoffer wordt van een losgeldvirus, dan betaal ik gewoon het losgeld om mijn apparatuur terug te krijgen, en daarna verzwijg ik voor de hele wereld dat ik hier überhaupt ooit slachtoffer van ben geweest.

Het is gewoon het eergevoel. Ik voel mij gekrenkt in mijn eer als ik moet toegeven dat ik geld betaald heb aan (zware) criminelen om mijn gegevens terug te krijgen. :'(
Je weet dat er geen belangrijk onderzoek is dat heeft aangetoond dat een LINUX backbone veiliger is?
Je weet dat er geen belangrijk onderzoek is dat heeft aangetoond dat een LINUX omgeving met hacking-minded Linux specialisten veiliger is?
Misschien moeten Universiteiten niet allemaal het wiel opnieuw willen uitvinden maar met zijn allen 1 systeem ondersteunen. Dan kun je ook meer geld uitgeven aan top specialisten die de buitendeur/deuren bewaken.
goeie. alleen dat is al een top reden (en uitgelezen kans) om voor het meest open systeem te kiezen

[Reactie gewijzigd door Rutger Muller op 22 mei 2020 18:25]

Ik denk ook dat het security through het is niet 90% van de markt is. Het is vrij simpel natuurlijk, Windows is het grootste doelwit, want bijna iedereen gebruikt het. Dezelfde reden waarom Mac weinig virussen heeft, het is gewoon een minder aantrekkelijk doelwit. Dat is natuurlijk niet de enige reden, maar Linux is niet per definitie veiliger, het is gewoon een minder groot doelwit.
Ik geef je hier wel ongeveer gelijk in. Maar stel dat er bijv. 50-50 windows-linux omgevingen waren. Dan blijft het nog de vraag: binnen welk systeem/architectuur en cultuur kan het snelste gereageerd worden?
Maar kan is daar natuurlijk wel het sleutelwoord. Want bedrijven gaan natuurlijk niet de open-source oplossing die binnen een dag beschikbaar is meteen hun systemen op slingeren, daar is dan eerst testing voor nodig. Precies waar de updates voor Windows zo lang door duren. Microsoft heeft natuurlijk ook genoeg slimme mensen in dienst die prima een OS kunnen maken, dus ook daar kan snel gereageerd worden.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True