Universitet valgte å betale løsepenger etter å ha blitt slått ut av kryptovirus

Til tross for svært store, moralske innvendinger.

Universitetet i Maastricht bekreftet denne uken at det valgte å betale løsepenger etter kryptovirusangrepet rett før jul i fjor. Foto: Wikimedia/Vma.janssen (<a href="https://creativecommons.org/licenses/by-sa/3.0/deed.en">CC BY-SA 3.0</a>)

Harald Brombach– Journalist

6. feb. 2020 - 14:43

Som digi.no tidligere har omtalt, ble universitetet i den nederlandske byen Maastricht, Universiteit Maastricht, rammet av et omfattende cyberangrep på lille julaften i fjor. Det dreide seg om et angrep med utpressingsvare som hadde kryptert store mengder av filene på IT-systemene til universitetet.

Som i 2021 ender årets utgave av Arctic Race opp i Fjellandsbyen i Målselv, etter å ha startet på Senja. I år gjør Telenor rundt 30 oppgraderinger av mobilnettet bare på denne etappen.

Les også:

Fortsetter å rulle ut sykkel-5G

Onsdag denne uken holdt universitetet en konferanse hvor det gikk ut med langt flere detaljer enn tidligere om hva som hadde skjedd. Blant annet ble det fortalt at universitetet til slutt hadde tatt den vanskelige beslutningen om å betale 30 bitcoin, tilsvarende nærmere to millioner kroner, i løsepenger for å motta en nøkkel som kunne brukes til å få tilgang til de låste filene.

Djevelsk dilemma

Mange sikkerhetsaktører fraråder utbetaling av løsepenger. Dette er penger som går til organisert kriminalitet, og det at ofrene betaler bidrar til at problemet fortsetter.

Ifølge nederlandske Observant, omtalte Nick Bos, visepresident i universitetsstyret, dette valget som et djevelsk dilemma. Alternativet var å forsøke å gjenskape filene, noe som trolig ville ha tatt uker eller måneder og satt store deler av virksomheten på vent. Det er uklart i hvilken grad det fantes sikkerhetskopier av filene.

I mai skal Telenor simulere en redningsaksjon på Svalbard for å få testet utstyr og teknologi til det nye nødnettet under så tøffe forhold som mulig.

Les også:

Telenor: Simulerer redningsaksjon på Svalbard for å teste nytt nødnett

Det er alltid en risiko for at skurkene vil stikke av gårde med løsepengene uten å frigi gislene, men i dette mottok universitetet nøkkelen til filene den 30. desember, dagen etter at pengene var blitt betalt. Dette resulterte i at undervisningen ved universitetet var nokså uberørt da den startet den 6. januar.

Selve angrepet

Angrepet skal ha startet med vellykket phishing som ga tilgang til laptopen til en ansatt. Fra denne skal de manuelt ha manøvrert seg gjennom universitetets IT-systemer, inntil de fikk full kontroll over nettverkene den 21. november. Et antivirussystem skal den 19. desember ha varslet om at noe var galt, men angriperne skal angivelig ha fjernet antivirusprogramvaren før universitetet skal ha rukket å respondere skikkelig på dette. Fire dager senere ble det endelige angrepet iverksatt.

Angriperne skal ha vært en russiskspråklig gruppe som kalles seg for Grace-RAT, men som også er kjent som TAT-505. Gruppen antas å ha vært aktivt i rundt fem år.

Ifølge Observant mener universitetet selv at det ikke er noe som tyder på at det er mer sårbart for slike angrep enn andre universiteter i Nederland. I løpet av 2018 og 2019 var det blitt innført flere sikkerhetstiltak i forbindelse med EUs personvernforordning, GDPR.

SOC

For 2020 er det satt av penger til blant annet etableringen av et eget Security Operations Center (SOC) ved Universiteit Maastricht. Dette skal ha kommet i drift nå i januar, akkurat litt for sent.

Representantene for universitetet mener at et universitet alltid vil være sårbart, på grunn av ønsket om å være en åpen og tilgjengelige institusjon. Økt sikkerhet skjer svært ofte på bekostning av bekvemmelighet og tilgjengelighet.