UM blijkt uiteindelijk via phishingmail gehackt te zijn.

Phishingmails lijken 'old news' als het gaat om digitale veiligheid. In elke bijeenkomst die we houden vragen we wie er nog nooit een gehad heeft en niemand die zijn/ haar vinger opsteekt. De alertheid is blijkbaar groot. En toch gaat het daar nog steeds mis.Dat bleek tijdens het seminar dat de UM organiseerde op 5 februari om openheid te geven over de hack die de UM trof in de kerstperiode.

De aanvaller die systemen van de Universiteit Maastricht met ransomware infecteerde wist binnen te komen via een phishingmail en verouderde software. Daarnaast heeft de universiteit 197.000 euro losgeld betaald dat de aanvaller vroeg voor het ontsleutelen van bestanden. Dat lieten de universiteit en securitybedrijf Fox-IT donderdag 5 februari weten tijdens een symposium over de ransomware-aanval dat de universiteit organiseerde. 

De aanvaller verstuurde op 15 en 16 oktober e-mails met het onderwerp "Documents" die naar een kwaadardig document linkten. Via dit document, waarvan hieronder een screenshot is te zien, werd het eerste systeem op 15 oktober besmet. Door een ongepatcht besturingssysteem op twee servers kon de aanvaller vervolgens op 21 november het volledige netwerk compromitteren en zich lateraal door het netwerk bewegen. Op deze twee servers waren bepaalde beveiligingsupdates niet doorgevoerd. Om welke verouderd besturingssysteem het ging is niet gemeld. 

Uiteindelijk werden 267 servers en 2 werkstations gecompromitteerd, waaronder ook een archiefsysteem. De aanvaller was voor het uitrollen van de ransomware afhankelijk van bepaalde software. Die werd echter door de antivirussoftware van de universiteit gedetecteerd. Daarop besloot de aanvaller de antivirussoftware te deïnstalleren. Vervolgens werd op 23 december de ransomware uitgerold. Alle getroffen systemen werden binnen 50 minuten versleuteld, aldus de universiteit.

Awareness

De universiteit stelt dat de aanval laat zien hoe belangrijk awareness is. Iets waar de organisatie zich meer op wil gaan richten. In het geval van de phishingmails die de aanvaller in oktober verstuurde hebben twee mensen die bij de servicedesk van de universiteit gemeld. De aanvaller had in deze twee gerapporteerde phishingmails twee verschillende links gebruikt. De servicedesk dacht dat het om twee dezelfde links ging. Daarop werd alleen één link geblokkeerd en bleef de andere link werken. Verder stelt de universiteit dat het had moeten detecteren dat de antivirussoftware was uitgeschakeld.

De universiteit bevestigt dat ook de back-ups werden versleuteld. "Voor een aantal back-ups hadden wij online back-ups", aldus de universiteit. De universiteit had dit gedaan om snel data in het geval van een incident terug te kunnen zetten. De aanvaller wisten echter toegang tot de online back-ups te krijgen en konden die vervolgens versleutelen. Er was van een ander systeem wel een offline back-up, maar die bleek zes maanden oud. "Een lacune", aldus de universiteit.

Betaling losgeld

De universiteit laat verder weten dat het in kader van de continuïteit heeft besloten om op 29 december 197.000 euro (30 bitcoin) losgeld te betalen. Dit in het belang van de studenten, medewerkers en de universiteit zelf, zo laat de organisatie weten. Over het bedrag werd niet onderhandeld. Voordat er werd betaald verstuurde de universiteit versleutelde bestanden die de aanvaller ontsleuteld terugstuurde. De decryptor die de aanvaller uiteindelijk verstrekte werkte en zorgde ervoor dat bestanden konden worden ontsleuteld. Hierdoor konden alle systemen veel sneller worden hersteld dan wanneer er niet was betaald, aldus de universiteit. Daarnaast zou het onderwijs mogelijk maanden zijn verstoord wanneer er niet tot betalen was overgegaan. 

De universiteit herhaalt dat de menselijke factor, awareness het belangrijkst is en dat studenten en medewerkers in staat moeten zijn om phishingmails te herkennen. Verder wordt gesteld dat het tijdig installeren van beveiligingsupdates, het juist omgaan met rechten, netwerkscheiding en een betere back-upstrategie de belangrijkste geleerde lessen zijn. De totale kosten van het incident zijn nog niet bekend.

Dit artikel is overgenomen van security.nl voor het originele artikel zie:

https://www.security.nl/posting/642452/Universiteit+Maastricht+besmet+via+phishingmail+en+verouderde+software?channel=twitter