Om weer over een werkend computersysteem te kunnen beschikken en kostbare data terug te krijgen, betaalde de Universiteit Maastricht ongeveer een kwart miljoen euro aan de criminelen die de systemen hadden versleuteld. Dat verklaren betrokkenen in de Volkskrant.

Aanvankelijk werd niet op de eisen van de criminelen ingegaan en probeerde de universiteit de getroffen systemen zelf te herstellen. Dat bleek echter niet mogelijk omdat de aanvallers ook de back-ups hadden versleuteld. Niet betalen zou tot gevolg hebben gehad dat de universiteit misschien maanden lang het onderwijs moest staken en dat tien jaar aan onderzoeksdata verloren zou zijn gegaan. De fout die gemaakt was, was dat de back-up op hetzelfde netwerk stond als de gewone computersystemen. Experts adviseren om daarnaast altijd een ‘offline’ back-up te hebben.

Verkenningen
De aanval schijnt al lang geleden ingezet te zijn met een aantal verkenningen. 23 december sloegen de criminelen toe. Nadat eerst de back-ups onklaar waren gemaakt, werd het hele computersysteem op slot gezet. Doordat het kerstvakantie was, zal dit later dan gewoonlijk zijn opgemerkt, waardoor er geen redden meer aan was. Er moest betaald worden, anders zou de data voor altijd ontoegankelijk worden gemaakt.
De universiteit was slachtoffer geworden van een deskundige en gerichte aanval. Normaal wordt ransomware willekeurig via bijvoorbeeld e-mail verspreid. Wie goede voorzorgsmaatregelen heeft getroffen kan zijn systeem met een back-up herstellen. Anders kan voor een redelijk bedrag een sleutel worden aangeschaft om de data te redden. In Maastricht ging het anders. De aanvallers waren gericht te werk gegaan en wisten goed in te schatten wat het aan geld zou kunnen opleveren. Dat overkomt meer bedrijven en met name overheden. Overheden zijn geliefd vanwege de financiële draagkracht en omdat deze zich doorgaans geen stilstand kunnen permitteren.

Zwakke wachtwoorden
De daders zorgen er wel voor dat zij niet zijn op te sporen. Vaak wordt naar Rusland gewezen, maar experts gaan ervan uit dat de aanval overal vandaan kan komen. Zorgwekkend is de opkomst van Sodinokibi-ransomware. Criminelen zonder kennis van computers kunnen hier tegen een vergoeding gebruik van maken. Het is nog wel een kunst om het op het netwerk van het slachtoffer geïnstalleerd te krijgen, maar dat lukt doorgaans doordat veel gebruikers te zwakke wachtwoorden gebruiken. Welkom schijnt nog steeds het meest gebruikte wachtwoord te zijn. Als de criminelen zo eenmaal als gebruiker weten binnen te komen op het netwerk, is het nog een koud kunstje om alles met Sodinokibi op slot te zetten. Volgens verzekeringsadviseur Aon is de gemiddelde schade van een dergelijke aanval 5 miljoen euro. Dat kan door betaling van het losgeld komen, maar ook door kosten die voor herstel worden gemaakt. Bedrijven kunnen zich verzekeren tegen aanvallen met ransomware en vaak heeft de verzekeraar dan een voorkeur voor de goedkoopste oplossing. Dat kan betaling van losgeld zijn.

Miljarden
Betaling van losgeld kan begrijpelijk zijn, maar ligt wel gevoelig. Zolang criminelen betaald krijgen, zullen zij doorgaan met dit soort aanvallen. Er schijnen miljarden verdiend te worden met gijzelsoftware, terwijl de risico’s minimaal zijn. De criminelen pakken het professioneel aan. Ze hebben zelfs een helpdesk voor als de ‘klant’ er met de sleutel niet uitkomt. In sommige gevallen geven ze ook nog beveiligingsadviezen en vertellen zij hoe zij hun aanval hebben kunnen uitvoeren. Dat is niet uit menslievendheid, maar om te voorkomen dat slachtoffers op een gegeven moment niet meer willen betalen omdat zij er niet op vertrouwen dat dat hen uit de ellende gaat halen. Een nieuwe trend is het stelen van persoonsgegevens en het dreigen deze openbaar te maken. Dat is de schaduwzijde van de GDPR/AVG, die bij het lekken van persoonsgegevens zeer hoge boetes in het vooruitzicht stelt. Wat er precies bij de Universiteit Maastricht is gebeurd, wordt wellicht op 5 februari helder. Dan vindt er een symposium plaats over de grote cyberaanval.