Universiteit Maastricht krijgt ransomwarelosgeld na vijf jaar met 'winst' terug

De Universiteit Maastricht heeft de cryptovaluta die ze in 2019 betaalde als losgeld bij een ransomwareaanval teruggekregen. Het was al in 2022 bekend dat de universiteit de cryptovaluta terug zou krijgen, alleen moest het OM deze nog controleren.

De Universiteit Maastricht kreeg het geld eind vorig jaar terug, bevestigt de universiteit aan universiteitsblad Observant en NU.nl. Dit was nog niet eerder bekendgemaakt. De universiteit zei in juli 2022 wel dat de cryptovaluta was gevonden, maar kreeg deze toen niet direct. Het Openbaar Ministerie wilde eerst 'grondig, juridisch toetsen' dat er niet nog cryptovaluta tussen zat van andere slachtoffers.

De cryptovaluta werd in februari 2020 gevonden en had destijds een waarde van zo'n 40.000 euro. Dit was niet de volledige hoeveelheid: de universiteit had in totaal voor zo'n 200.000 euro aan cryptovaluta betaald. Inmiddels is de waarde van die 40.000 euro echter gestegen naar 561.976 euro. Dat bedrag is vorig jaar overgeschreven naar de universiteit.

De ransomwareaanval vond plaats in de kerstvakantie van 2019. Dagenlang waren 'bijna alle Windows-systemen' en e-maildiensten slecht tot niet bereikbaar. De aanvallers gebruikten de Clop-ransomware. De universiteit betaalde het losgeld na enkele dagen om de systemen weer te kunnen gebruiken. De Limburgse politie kwam er in 2020 achter dat de cryptovaluta in handen was van een Oekraïense witwasser. De cryptovaluta werd hierbij in beslag genomen.

Hoewel de universiteit nu meer heeft gekregen dan zij aan losgeld heeft betaald, spreekt de universiteit niet van winst. Zo zou de totale schade 'tientallen keren' hoger liggen, bijvoorbeeld door aangescherpte digitale beveiliging. Het ontvangen geld gaat niet daarvoor gebruikt worden; in plaats daarvan wil de universiteit het geld gebruiken voor een nieuw fonds voor studenten en wetenschappers in nood.

Reacties (38)

Quintiemero 26 maart 2025 14:18

Zo zou de totale schade 'tientallen keren' hoger liggen, bijvoorbeeld door aangescherpte digitale beveiliging.

Is dat schade of voldoet haar inrichting nu eindelijk aan de vereiste technische- en organisatorische maatregelen?

robinmann @Quintiemero • 26 maart 2025 14:20

M.i. het laatste. Dat je flink hebt moeten investeren in je digitale beveiliging is eigenlijk gewoon het wegwerken van je technical debt. Dat kun je geen schade noemen.

Ircghost @robinmann • 26 maart 2025 15:49

Zo wordt het helaas door de business / board wel vaak gezien in mijn ervaring..

moimeme @Ircghost • 26 maart 2025 22:27

Niet alleen b/b, ik ook als ik een duur slot voor mijn fiets moet kopen.
Het voelt als een schadepost door dieven veroorzaakt.

laptopleon @moimeme • 27 maart 2025 10:35

Mee eens, maar dat is niet hetzelfde. Ja, je kunt redeneren: Als er geen criminaliteit zou bestaan, zou dat significant de kosten drukken want je hebt geen fietsslot, deurbelcamera, auto-alarm, etc etc meer nodig.

Maar we leven nou eenmaal niet in een perfecte wereld en dat was altijd al zo. Het is niet zo dat door die afpersing de wereld ineens veranderd is, of de dreiging voor de hogeschool. Die dreiging was er al en de benodigde veiligheidsmaatregelen waren altijd al nodig.

Door te stellen dat de kosten door deze ene aanval veroorzaakt zijn, doet de instelling voorkomen dat betere beveiliging eerder eigenlijk niet nodig was, maar dat is natuurlijk onzin.

WillySis @laptopleon • 27 maart 2025 11:45

Beveiliging is inderdaad een noodzakelijk kwaad. Je moet er tegenwoordig (veel) geld aan besteden. Dat is eigenlijk een "nutteloze" besteding, want je krijgt er geen extra functionaliteit voor terug. Voor netwerk beveiliging geldt grotendeels hetzelfde als voor een fietsslot. In de ideale wereld is dat niet nodig en je kan het uitgeven van geld aan beveiliging uit dat oogpunt wel als een verliespost zien. Bovendien kost het gebruik van alles wat beveiligd is ook extra tijd en moeite. Van een sleutel pakken en omdraaien tot het invoeren van wachtwoorden en overnemen van beveiligingscodes. Beveiliging blijft dus tijd (is geld) kosten.

DutchGamer1982 @laptopleon • 28 maart 2025 02:57

Natuurlijk is er ook welk type beveiliging is nodig.
-laten we zeggen het criminele element is niet overal even groot.

als ik mijn gloednieuwe fiets zonder slot bij het station in amsterdam zet.. dan is het logisch dat hij weg is nog voor ik me omgedraaid heb. en kun je zeggen "eigen schuld, te naief"

Maar als mijn fiets uit mijn eigen schuur, gejat word terwijl hij met een goed axe slot op slot staat, ook nog aan de ketting, vastgemaakt aan een stalen ring die in de muur zit.. en NOG is hij binnen 2 weken na aanschaf verdwenen.. heck zelfs al heb je er een chip ingezet, en kan de politie precies zeggen waar je gejatte fiets zich nu bevind en ze zeggen nog "sorrie geen mankracht"
wat moet je dan nog?

in een gated community gaan wonen en altijd 4 man bewaking rondom je hebben?
een joegoeslaaf inhuren om dergelijke dieven de handjes af te hakken en je fiets terug te halen als de politie het nalaat?
-> natuurlijk dat kan werken maar de noodzaak daarvan toont wel aan hoe erg het falen van politie en doane om dergelijke extreme misdaadsvormen weg van je te houden.

online beveiliging begint voor veel instanties soortgelijke extreme vormen (en kosten) aan te nemen.
wat nogal stevig het budget wegtrekt van core taken (zoals in dit geval onderwijs) en de kwaliteit omlaag en prijs omhoog brengt voor eindgebruikers.

waar je voorheen een fiets van 1000 euro kocht en er een 60 euro slot opzetten
voorzag je nu je fiets van 1000 euro voor 1200 euro aan sloten, beugels en security chips.. en NOG was hij weg.. natuurlijk iemand permanent inhuren om er 24/7 naast te staan is NOG veiliger.. maar dan ga je praten over 4000 euro per maand beveiliging om een fiets van 1000 euro te beschermen..

dat je dan gaat mopperen snap ik goed.

[Reactie gewijzigd door DutchGamer1982 op 28 maart 2025 03:13]

laptopleon @DutchGamer1982 • 28 maart 2025 11:05

Goed punt en ik ken de exacte situatie van deze casus niet (vaak laat men ook niet het achterste van de tong zien om medewerkers te beschermen), maar je kunt daar wel iets over zeggen. In die jaren (dit was in 2019) was er een ware golf van dergelijke gevallen. Hele ketens van ziekenhuizen, multinationals, haventerminals etc etc die plat kwamen te liggen. Niet eentje of een paar maar tientallen, verspreid over jaren.

Dan moet er bij de IT-afdeling van jouw organisatie toch een lampje gaan branden. Als er keer op keer in het wijkkrantje, lokale nieuws site, buurt app, roddel molen ter sprake komt dat er wéér een inbraak is geweest in de buurt, dan ga je toch nadenken.. Hey.. misschien moet ik ook eens die ladder binnen zetten die in de achtertuin naast het balkon staat.

tMb

@Quintiemero • 26 maart 2025 14:25

Wat ze hadden moeten zeggen is dat het de kosten niet dekt voor forensics op de aanval, noodmaatregelen, herstel etc. Was ook waar geweest.

Ps. Ik zie nu pas dat @The Zep Man het zelfde zegt

[Reactie gewijzigd door tMb op 26 maart 2025 14:27]

Olaf van der Spek @tMb • 26 maart 2025 14:47

Wat ze hadden moeten zeggen is dat het de kosten niet dekt voor forensics op de aanval, noodmaatregelen, herstel etc. Was ook waar geweest.

Voorkomen is beter dan genezen..

Stijnvi @Quintiemero • 26 maart 2025 15:03

Ik wilde letterlijk exact dezelfde reactie plaatsen. Als ik na een inbraak pas een slot op mijn voordeur zet is dat ook geen schade als gevolg van die inbraak...

Het enige wat hiermee bedoeld zou kunnen worden wat ik wel als schade zou zien, is de aangescherpte beveiliging tussen het moment van de inbraak en het moment dat de systemen weer volledig hersteld en operationeel waren.

bodelier725 @Stijnvi • 27 maart 2025 12:56

Als je na inbraak pas een slot op je voordeur zet, is het denk ik eerder insluiping dan inbraak, bij gebrek aan... braak. 😇

bwerg @Quintiemero • 26 maart 2025 14:24

Precies, de beveiliging aanscherpen doe je zodat het in de toekomst niet weer gebeurt, maar dat was niet anders geweest als deze ransomeware-aanval niet had plaatsgevonden.

Of omgekeerd geformuleerd: ze hadden er ook gewoon voor kunnen kiezen om de digitale beveiliging niet aan te scherpen, dat had voor het verdwenen geld niks uitgemaakt.

GTTC 26 maart 2025 15:10

Wat zegt de belastingdienst over dit meevallertje voor de Universiteit?

Toerq @GTTC • 26 maart 2025 21:09

Dat vraag ik mij ook af, in principe is het cyptowinst en dat ze nog andere kosten hebben gehad doet daar niks van af.

The Zep Man

Beveiliging en antivirus

26 maart 2025 14:19

Zo zou de totale schade 'tientallen keren' hoger liggen, bijvoorbeeld door aangescherpte digitale beveiliging.

Dat is geen schade. Dat is een investering in informatiebeveiliging die je van te voren had moeten doen.

De schade van de aanval zijn de kosten door vastgelopen dienstverlening en de kosten om dienstverlening en schade te herstellen (herstellen backups, vervangen verloren data, etc.). Preventie van toekomstige schade valt daar niet onder.

[Reactie gewijzigd door The Zep Man op 26 maart 2025 14:30]

GarBaGe 26 maart 2025 14:20

"Zo zou de totale schade 'tientallen keren' hoger liggen, bijvoorbeeld door aangescherpte digitale beveiliging."
Raar.... ik vind het aanscherpen van de digitale beveiliging geen onderdeel van de totale schade, maar eerder de achterstallige rekening die dit had kunnen voorkomen.

tszcheetah

26 maart 2025 14:20

Zo zou de totale schade 'tientallen keren' hoger liggen, bijvoorbeeld door aangescherpte digitale beveiliging.

Die beveiliging had hoe dan ook aangescherpt moeten worden lijkt me, de kosten daarvoor is toch niet noodzakelijk een direct gevolg van deze aanval? Dat ze kosten hebben gemaakt om de boel operationeel te krijgen en dat daarmee de "winst" wegvalt snap ik, maar deze spin gaat nog wel een stap verder.

mjl 26 maart 2025 14:22

De aangescherpte beveiliging was duurder... op zich hadden ze die investering al lang moeten doen voor het voorval en hadden ze een hoop kosten en andere schade kunnen voorkomen.

De grootste kosten zijn de downtime (geen colleges, wetenschappers en staf die hun werk niet kunnen doen, reputatie schade) en de reparatie van de systemen/ongedaan maken van de ransomware. Alsnog maken ze geen winst, de schade was een veelvoud van het ransome bedrag wat nu terug komt.

ari3 26 maart 2025 14:24

Zo zou de totale schade 'tientallen keren' hoger liggen, bijvoorbeeld door aangescherpte digitale beveiliging.

Ja, dat valt natuurlijk niet onder schade. Als naar aanleiding van een hack de beveiliging pas aangescherpt wordt, waren deze kosten natuurlijk ook gemaakt als de beveiliging op voorhand in orde was gemaakt en er dus nooit een hack had kunnen plaatsvinden.

Skinnyice 26 maart 2025 14:57

Hebben ze overigens wel, tussen haakjes uiteraard, mazzel mee. Voor zover ik weet is het proces dat crypto die in beslag wordt genomen binnen een week dient te worden omgezet in geld. Dat nu blijkt dat 5 jaar crypto op de plank lag en deze nu pas is omgezet is een mazzeltje. Waarschijnlijk was het hele Incident Response traject van dit incident al 500K, dus winst is inderdaad niet van toepassing.

Call of Duty 26 maart 2025 16:08

Ik zou verscherping van je cybersecurity nou niet als schade kenmerken. Geeft hopelijk niet weer over hoe ze tegen de zaken aankijken

S.McDuck 26 maart 2025 16:50

Zo zou de totale schade 'tientallen keren' hoger liggen, bijvoorbeeld door aangescherpte digitale beveiliging.

Wat is de wereld toch mooi als je directeur bent of in de raad van bestuur zit. Nee dit had je al op orde moeten hebben. je hebt jaren geen geld uitgegeven aan iets wat je op orde had moeten hebben. Pas toen het mis ging kwam er actie omdat het in het nieuws kwam.

Op dit item kan niet meer gereageerd worden.

Universiteit Maastricht krijgt ransomwarelosgeld na vijf jaar met 'winst' terug

Lees meer

Verbod op losgeldbetalingen

Hoe ransomware veranderd is

Reacties (38)

Sorteer op:

Weergave: