Som digi.no tidligere har omtalt, ble universitetet i den nederlandske byen Maastricht, Universiteit Maastricht, rammet av et omfattende cyberangrep på lille julaften i fjor. Det dreide seg om et angrep med utpressingsvare som hadde kryptert store mengder av filene på IT-systemene til universitetet.
Onsdag denne uken holdt universitetet en konferanse hvor det gikk ut med langt flere detaljer enn tidligere om hva som hadde skjedd. Blant annet ble det fortalt at universitetet til slutt hadde tatt den vanskelige beslutningen om å betale 30 bitcoin, tilsvarende nærmere to millioner kroner, i løsepenger for å motta en nøkkel som kunne brukes til å få tilgang til de låste filene.
Djevelsk dilemma
Mange sikkerhetsaktører fraråder utbetaling av løsepenger. Dette er penger som går til organisert kriminalitet, og det at ofrene betaler bidrar til at problemet fortsetter.
Ifølge nederlandske Observant, omtalte Nick Bos, visepresident i universitetsstyret, dette valget som et djevelsk dilemma. Alternativet var å forsøke å gjenskape filene, noe som trolig ville ha tatt uker eller måneder og satt store deler av virksomheten på vent. Det er uklart i hvilken grad det fantes sikkerhetskopier av filene.
Det er alltid en risiko for at skurkene vil stikke av gårde med løsepengene uten å frigi gislene, men i dette mottok universitetet nøkkelen til filene den 30. desember, dagen etter at pengene var blitt betalt. Dette resulterte i at undervisningen ved universitetet var nokså uberørt da den startet den 6. januar.
Selve angrepet
Angrepet skal ha startet med vellykket phishing som ga tilgang til laptopen til en ansatt. Fra denne skal de manuelt ha manøvrert seg gjennom universitetets IT-systemer, inntil de fikk full kontroll over nettverkene den 21. november. Et antivirussystem skal den 19. desember ha varslet om at noe var galt, men angriperne skal angivelig ha fjernet antivirusprogramvaren før universitetet skal ha rukket å respondere skikkelig på dette. Fire dager senere ble det endelige angrepet iverksatt.
Angriperne skal ha vært en russiskspråklig gruppe som kalles seg for Grace-RAT, men som også er kjent som TAT-505. Gruppen antas å ha vært aktivt i rundt fem år.
Ifølge Observant mener universitetet selv at det ikke er noe som tyder på at det er mer sårbart for slike angrep enn andre universiteter i Nederland. I løpet av 2018 og 2019 var det blitt innført flere sikkerhetstiltak i forbindelse med EUs personvernforordning, GDPR.
SOC
For 2020 er det satt av penger til blant annet etableringen av et eget Security Operations Center (SOC) ved Universiteit Maastricht. Dette skal ha kommet i drift nå i januar, akkurat litt for sent.
Representantene for universitetet mener at et universitet alltid vil være sårbart, på grunn av ønsket om å være en åpen og tilgjengelige institusjon. Økt sikkerhet skjer svært ofte på bekostning av bekvemmelighet og tilgjengelighet.
