image

Universiteit Maastricht brengt belangrijkste systemen online

donderdag 2 januari 2020, 10:27 door Redactie, 23 reacties

De belangrijkste systemen van de Universiteit Maastricht (UM) zijn sinds vanochtend weer voor studenten en medewerkers toegankelijk. Het gaat met name om informatiesystemen voor studenten rond roostering, studiematerialen en het UM-studentenportaal. Mail en fileservers zijn nog steeds offline.

Systemen van de universiteit werden op 24 december door de Clop-ransomware getroffen. Op de belangrijkste systemen na, die nu online zijn gekomen, mogen computers en andere systemen van de universiteit vooralsnog door niemand worden gebruikt. "Het is nog steeds van het allergrootste belang dat studenten en medewerkers geen acties uitvoeren op of aan pc's of systemen van de UM. Dat geldt zowel voor binnen als buiten de universiteit. Dit is om iedere vorm van risico voor het onderzoek- en herstelwerk te vermijden en het behoud van data te waarborgen", zo blijft de universiteit herhalen.

Studenten en medewerkers kunnen wel hun eigen systemen gebruiken. "Voor zover nu bekend was de cyberattack een gerichte aanval op de centrale servers en systemen en zijn de individuele werkplekken/apparaten niet getroffen", aldus de universiteit. Medewerkers die verbinding met het UM-netwerk maken wordt aangeraden om wel het vaste netwerk te gebruiken en dit niet via wifi te doen. Op deze manier kan namelijk het apparaat worden gemonitord, zo stelt de universiteit in een FAQ. Er wordt actief op geïnfecteerde machines gemonitord.

Vanwege de infectie besloot de universiteit ook de wachtwoorden van studenten en medewerkers te resetten. Medewerkers kunnen sinds vanochtend via een intranetlink hun wachtwoord wijzigen. Studenten zullen dit vanaf een externe locatie moeten doen, buiten het universiteitsnetwerk. Of de universiteit het gevraagde losgeld heeft betaald is onbekend. Eerder deze week stelde de VVD nog Kamervragen over het incident.

Reacties (23)
02-01-2020, 13:12 door souplost - Bijgewerkt: 02-01-2020, 13:12
Ze hebben dus los geld betaald anders was er wel stoer vermeld welke backup er is teruggezet en welke informatie verloren is gegaan.
02-01-2020, 13:26 door Tintin and Milou - Bijgewerkt: 02-01-2020, 14:17
Door souplost: Ze hebben dus los geld betaald anders was er wel stoer vermeld welke backup er is teruggezet en welke informatie verloren is gegaan.
Interessante constatering. Ik zou namelijk op basis van alle informatie die ik heb kunnen vinden / traceren op Internet niet deze conclusies durven trekken.

Waarom zou men niet een AD recovery hebben kunnen uitvoeren, sync vanuit een IDM systeem en daarna dit soort systemen weer kunnen activeren? Deze systemen kunnen wel heel ergens anders draaien, cloud diensten zijn, of op Linux draaien.

Ik zou dit een veel logische conclusie vinden, dan "stoer vermelden over je backup", mogelijke verloren informatie, of losgeld betaald.
Men is nog heel druk met een recovery bezig.


Hmmmm. Ik hoor net op de radio dat er mogelijk betaald is. Rond de 100.000 euro mogelijk.
02-01-2020, 13:42 door Anoniem
Heeft men betaald dan zal men dit echt niet gaan melden, dunkt me.

Maar waarom hebben ze dan contact gehad met de malceanten?
Voor de kat z'n viool?
02-01-2020, 13:44 door Anoniem
Door Tintin and Milou:Waarom zou men niet een AD recovery hebben kunnen uitvoeren, sync vanuit een IDM systeem en daarna dit soort systemen weer kunnen activeren? .

Slimme hackers hebben toch al voordat de problemen werden opgemerkt er voor gezocht dat hun achterdeur in de backup is opgenomen? De backup terugzetten is dan toch om problemen vragen?
02-01-2020, 13:49 door Anoniem
Gelukkig zijn de ontwerpers van Clop niet zo geavanceerd gebleken.
Misschien dat FoxIT dit kan uitbuiten? We hopen het maar.
02-01-2020, 13:52 door Anoniem
Door souplost: Ze hebben dus los geld betaald anders was er wel stoer vermeld welke backup er is teruggezet en welke informatie verloren is gegaan.
Je moet nooit "stoer" vermelden wat je gedaan hebt om het probleem te tackelen, want criminelen lezen namelijk ook de krant en kunnen van gemaakte fouten leren. In een oorlog geef je immers ook niet aan wat je van je tegenstander wel of niet weet.

Er geldt maar 1 protocol: houd je snater.
02-01-2020, 14:26 door Anoniem
Hier wordt dat bevestigd: https://www.ad.nl/limburg/universiteit-maastricht-betaalde-losgeld-na-cyberhack~a565002d/

Als dat de trend wordt, is het hek van de dam.
Gooi je toch de handdoek in de ring. Uni, overheid?

luntrus
02-01-2020, 14:29 door Anoniem
https://www.observantonline.nl/Home/Artikelen/articleType/ArticleView/articleId/17789/Cyberhack-Universiteit-Maastricht-betaalt-losgeld
02-01-2020, 15:09 door Joep Lunaar
Weet iemand of de aanval ook gebruik heeft gemaakt van kwetsbaarheden in systemen anders dan MS Windows ?
02-01-2020, 15:37 door karma4
Door Joep Lunaar: Weet iemand of de aanval ook gebruik heeft gemaakt van kwetsbaarheden in systemen anders dan MS Windows ?
Het is een gerichte aanval. De zwakste schakel is de mens. CEO Pishing ligt in het verlengde. Dat is ongeacht wel os.
"Studenten: Voor zover nu bekend was de cyberattack een gerichte aanval op de centrale servers en systemen en zijn de individuele werkplekken/apparaten …" https://www.maastrichtuniversity.nl/nl/faq-cyberaanval-um
02-01-2020, 15:37 door Anoniem
Cop ransomware, deze versie, schakelde ook stand-alone anti-ransomware programma's als MBAM uit.
(MBAM versie 4 zou niet kwetsbaar zijn geweest, men gebruikte dus een oudere versie, als men die al gebruikte).
via
C:\Program Files\MalwareBytes\Anti-Ransomware\unins000.exe /verysilent /suppressmsgboxes /norestart
Met Tamper Protection van MS ingeschakeled was Windows Defender blijven staan (zich snel hersteld).
Nu ging het onderuit en werden Word, Exel e.d. files goed versleuteld door Clop.

Windows Defender Tamper Protection had men bij de uni van Maastricht dus niet geimplementeerd.
Men had dus een insecure systeem draaien en niet van de laatste beveiligingsupdates voor MS Defender voorzien.

luntrus
02-01-2020, 16:22 door Joep Lunaar - Bijgewerkt: 02-01-2020, 16:57
Door karma4:
Door Joep Lunaar: Weet iemand of de aanval ook gebruik heeft gemaakt van kwetsbaarheden in systemen anders dan MS Windows ?
Het is een gerichte aanval. De zwakste schakel is de mens. CEO Pishing ligt in het verlengde. Dat is ongeacht wel os.
"Studenten: Voor zover nu bekend was de cyberattack een gerichte aanval op de centrale servers en systemen en zijn de individuele werkplekken/apparaten …" https://www.maastrichtuniversity.nl/nl/faq-cyberaanval-um

Dank je voor de reactie, maar ... het brengt mij niets verder bij de beantwoording van mijn vraag.
Uit de spaarzame informatie die tot nog toe door de Universiteit is verschaft is in verband met de getroffen systemen niets over het gebruikte OS , versies, enz. vermeld. In de FAQ van de UM staat alleen dat nog wordt onderzocht of apparatuur van Apple [wel] veilig kan worden gebruikt. Hieruit leid ik a contrario het vermoeden af dat daarvoor in elk geval geen directe aanwijzing bestaat. Resteren dan als mogelijk kwetsbare platformen: MS Windows, Linux/UNIX of, vooralsnog niet uit te sluiten, cross-platform. Als het over centrale servers gaat, kan dat natuurlijk Linux systemen betreffen, ook die zijn niet onkwetsbaar, maar dat deze Clop gijzelprogrammatuur Linux ook zou raken heb ik nog niet vernomen. Daarom wil ik weten of nog andere platformen bij deze aanval getroffen zijn.

Mijn vraag vloeit ook voort uit een vermoeden, vrees, dat de monocultuur van MS Windows bij overheid, bedrijfsleven en ook in het onderwijs, onze maatschappij in hoge mate kwetsbaar maakt. Daarbij gevoegd dat (update)beheer van MS Windows systemen vaak problematisch is, al is het maar als erfenis van het verleden en dat mede daardoor een cultuur rond het MS Windows platform is ontstaan dat afwijkend gedrag van systemen volstrekt normaal is (repressieve tolerantie). Vele jaren van standaard gebruik van accounts met administratieve privileges, onveilige authenticatie (NTLMHASH, MS Chap), onbruikbare foutmeldingen, chaotische en houtje-touwtje installatieprogramma's (uitgevoerd met goddelijke rechten), verstopte bestandsextenties, voor gebruikers schrijfbare mappen voor programmatuur, voorrang voor reclameuitingen boven eenvoud (o.a. die "gratis" meegeleverde viruscheckers), enz enz geeft weinig vertrouwen. Waar lang en stelselmatig de belangen niet zijn afgewogen in het belang van veiligheid of de gebruiker, moet, ja moet, men het ergste vrezen.

Dit soort calamiteiten als nu bij de UM moeten een ernstige waarschuwing zijn.

p.s.
Ik maak mij echt zorgen, maar ach, dat is zo ontzettend 2019
02-01-2020, 18:52 door The FOSS - Bijgewerkt: 02-01-2020, 18:52
Door Joep Lunaar: Weet iemand of de aanval ook gebruik heeft gemaakt van kwetsbaarheden in systemen anders dan MS Windows ?

Er hoeft helemaal geen sprake te zijn van een kwetsbaarheid (in welk systeem dan ook). Als jij mij het wachtwoord van een account met voldoende privileges geeft dan installeer ik er zo ransomware op die alles versleutelt. Desnoods versleutel ik handmatig. Zo hoeft het niet gebeurd te zijn maar het zou wel kunnen.
02-01-2020, 21:27 door Erik van Straten
Door The FOSS:
Door Joep Lunaar: Weet iemand of de aanval ook gebruik heeft gemaakt van kwetsbaarheden in systemen anders dan MS Windows ?

Er hoeft helemaal geen sprake te zijn van een kwetsbaarheid (in welk systeem dan ook). Als jij mij het wachtwoord van een account met voldoende privileges geeft dan installeer ik er zo ransomware op die alles versleutelt. Desnoods versleutel ik handmatig. Zo hoeft het niet gebeurd te zijn maar het zou wel kunnen.
Goed dat je dit beaamt en deze keer niet roept dat het met OSS niet zou zijn gebeurd. Ga zo door!

Nb. dit is niet sarcastisch bedoeld, ik meen het serieus.
03-01-2020, 12:36 door souplost
Door Erik van Straten:
Door The FOSS:
Door Joep Lunaar: Weet iemand of de aanval ook gebruik heeft gemaakt van kwetsbaarheden in systemen anders dan MS Windows ?

Er hoeft helemaal geen sprake te zijn van een kwetsbaarheid (in welk systeem dan ook). Als jij mij het wachtwoord van een account met voldoende privileges geeft dan installeer ik er zo ransomware op die alles versleutelt. Desnoods versleutel ik handmatig. Zo hoeft het niet gebeurd te zijn maar het zou wel kunnen.
Goed dat je dit beaamt en deze keer niet roept dat het met OSS niet zou zijn gebeurd. Ga zo door!

Nb. dit is niet sarcastisch bedoeld, ik meen het serieus.
Dat heeft nog nooit iemand geroepen. Wel dat goed gereedschap het halve werk is! en meer garanties biedt naar de toekomst.

Als je instaat bent om bijna alle windows te hacken is er iets goed mis met de inrichting opgezet door gecertificeerde professionals. Dat is met een ander systeem nog nooit gebeurd, althans niet in het nieuws verschenen. Misschien ook de reden dat windows op de server niet meer zo populair is.
03-01-2020, 15:12 door Anoniem
Door Joep Lunaar: Weet iemand of de aanval ook gebruik heeft gemaakt van kwetsbaarheden in systemen anders dan MS Windows ?

Bekijk de FAQ-lijst op de website van de Universiteit Maastricht, voor de antwoorden op de meest gestelde vragen. De inhoud daarvan wordt zeker de komende paar weken nog constant bijgewerkt. Dus bij twijfel die lijst opnieuw raadplegen:


Kunnen Apple computers/devices veilig gebruikt worden?
Dat zijn we nog aan het onderzoeken.
04-01-2020, 08:54 door The FOSS
Door souplost:
Door Erik van Straten:
Door The FOSS:
Door Joep Lunaar: Weet iemand of de aanval ook gebruik heeft gemaakt van kwetsbaarheden in systemen anders dan MS Windows ?

Er hoeft helemaal geen sprake te zijn van een kwetsbaarheid (in welk systeem dan ook). Als jij mij het wachtwoord van een account met voldoende privileges geeft dan installeer ik er zo ransomware op die alles versleutelt. Desnoods versleutel ik handmatig. Zo hoeft het niet gebeurd te zijn maar het zou wel kunnen.
Goed dat je dit beaamt en deze keer niet roept dat het met OSS niet zou zijn gebeurd. Ga zo door!

Nb. dit is niet sarcastisch bedoeld, ik meen het serieus.
Dat heeft nog nooit iemand geroepen. Wel dat goed gereedschap het halve werk is! en meer garanties biedt naar de toekomst.

Dacht ik ook maar misschien is er in het heetst der strijd iets ontschoten...
04-01-2020, 13:03 door souplost
Door Anoniem:
Door Joep Lunaar: Weet iemand of de aanval ook gebruik heeft gemaakt van kwetsbaarheden in systemen anders dan MS Windows ?

Bekijk de FAQ-lijst op de website van de Universiteit Maastricht, voor de antwoorden op de meest gestelde vragen. De inhoud daarvan wordt zeker de komende paar weken nog constant bijgewerkt. Dus bij twijfel die lijst opnieuw raadplegen:


Kunnen Apple computers/devices veilig gebruikt worden?
Dat zijn we nog aan het onderzoeken.
De ransom pagina is nog steeds leeg: https://www.maastrichtuniversity.nl/nl/support/ict-voorzieningen/spelregels-en-beleid/ransomware

Microsoft is langs geweest De bijna alle windowssystemen zijn gehackt verwijzingen zijn weg. Wat mij verder opvalt is dat er geen meldingen zijn over laptops van studenten die besmet zouden zijn. Zijn dat betere systeembeheerders dan die van dat servicebureau of gebruiken die allemaal een Mac Air tegenwoordig?
06-01-2020, 10:35 door Anoniem
"De ransom pagina is nog steeds leeg: https://www.maastrichtuniversity.nl/nl/support/ict-voorzieningen/spelregels-en-beleid/ransomware"
Ik heb daar wel een copietje van ...
Misschien nuttig als documentatie? "Herken de geschiedenis als je er midden in zit" (citaat van Geert Mak).

"Microsoft is langs geweest De bijna alle windowssystemen zijn gehackt verwijzingen zijn weg .."
https://www.maastrichtuniversity.nl/nl/nieuws/um-getroffen-door-cyberaanval
"Bijna alle Windows-systemen zijn geraakt en vooral e-mail kan niet worden gebruikt .."
Dat staat er nog wel ...
06-01-2020, 13:27 door Anoniem
Door Anoniem: Ik heb daar wel een copietje van ... Misschien nuttig als documentatie? "Herken de geschiedenis als je er midden in zit" (citaat van Geert Mak).

Daar stond eerder nog openbare informatie van de ICTS over de backup rotatie en retentie. De inhoud daarvan is waarschijnlijk om preventieve, tactische redenen verwijderd. Men wilde zich niet verder in de kaarten laten kijken.
06-01-2020, 13:39 door Anoniem
Door souplost: Wat mij verder opvalt is dat er geen meldingen zijn over laptops van studenten die besmet zouden zijn. Zijn dat betere systeembeheerders dan die van dat servicebureau of gebruiken die allemaal een Mac Air tegenwoordig?

Als alleen de administrators van het Windows netwerk van de Universiteit Maastricht het hoofddoel van de aanval waren (daar lijkt het op), dan ontspringen de studenten met hun eigen Windows laptops, met alleen Windows Defender, misschien de dans. Zo niet, dan spelen zich inmiddels in Maastrichtse studentenhuizen op laptops drama's af.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.