Ze hebben dus los geld betaald anders was er wel stoer vermeld welke backup er is teruggezet en welke informatie verloren is gegaan.

Interessante constatering. Ik zou namelijk op basis van alle informatie die ik heb kunnen vinden / traceren op Internet niet deze conclusies durven trekken.

Waarom zou men niet een AD recovery hebben kunnen uitvoeren, sync vanuit een IDM systeem en daarna dit soort systemen weer kunnen activeren? Deze systemen kunnen wel heel ergens anders draaien, cloud diensten zijn, of op Linux draaien.

Ik zou dit een veel logische conclusie vinden, dan "stoer vermelden over je backup", mogelijke verloren informatie, of losgeld betaald.
Men is nog heel druk met een recovery bezig.


Hmmmm. Ik hoor net op de radio dat er mogelijk betaald is. Rond de 100.000 euro mogelijk.

Heeft men betaald dan zal men dit echt niet gaan melden, dunkt me.

Maar waarom hebben ze dan contact gehad met de malceanten?
Voor de kat z'n viool?

Slimme hackers hebben toch al voordat de problemen werden opgemerkt er voor gezocht dat hun achterdeur in de backup is opgenomen? De backup terugzetten is dan toch om problemen vragen?

Gelukkig zijn de ontwerpers van Clop niet zo geavanceerd gebleken.
Misschien dat FoxIT dit kan uitbuiten? We hopen het maar.

Je moet nooit "stoer" vermelden wat je gedaan hebt om het probleem te tackelen, want criminelen lezen namelijk ook de krant en kunnen van gemaakte fouten leren. In een oorlog geef je immers ook niet aan wat je van je tegenstander wel of niet weet.

Er geldt maar 1 protocol: houd je snater.

https://nos.nl/artikel/2317078-universiteitsblad-maastricht-betaalde-ransomware-aanvallers-losgeld.html

Hier wordt dat bevestigd: https://www.ad.nl/limburg/universiteit-maastricht-betaalde-losgeld-na-cyberhack~a565002d/

Als dat de trend wordt, is het hek van de dam.
Gooi je toch de handdoek in de ring. Uni, overheid?

luntrus

https://www.security.nl/posting/637603/Observant%3A+%22UM+heeft+losgeld+betaald%22

https://www.observantonline.nl/Home/Artikelen/articleType/ArticleView/articleId/17789/Cyberhack-Universiteit-Maastricht-betaalt-losgeld

Weet iemand of de aanval ook gebruik heeft gemaakt van kwetsbaarheden in systemen anders dan MS Windows ?

Het is een gerichte aanval. De zwakste schakel is de mens. CEO Pishing ligt in het verlengde. Dat is ongeacht wel os.
"Studenten: Voor zover nu bekend was de cyberattack een gerichte aanval op de centrale servers en systemen en zijn de individuele werkplekken/apparaten …" https://www.maastrichtuniversity.nl/nl/faq-cyberaanval-um

Cop ransomware, deze versie, schakelde ook stand-alone anti-ransomware programma's als MBAM uit.
(MBAM versie 4 zou niet kwetsbaar zijn geweest, men gebruikte dus een oudere versie, als men die al gebruikte).
via Met Tamper Protection van MS ingeschakeled was Windows Defender blijven staan (zich snel hersteld).
Nu ging het onderuit en werden Word, Exel e.d. files goed versleuteld door Clop.

Windows Defender Tamper Protection had men bij de uni van Maastricht dus niet geimplementeerd.
Men had dus een insecure systeem draaien en niet van de laatste beveiligingsupdates voor MS Defender voorzien.

luntrus

Dank je voor de reactie, maar ... het brengt mij niets verder bij de beantwoording van mijn vraag.
Uit de spaarzame informatie die tot nog toe door de Universiteit is verschaft is in verband met de getroffen systemen niets over het gebruikte OS , versies, enz. vermeld. In de FAQ van de UM staat alleen dat nog wordt onderzocht of apparatuur van Apple [wel] veilig kan worden gebruikt. Hieruit leid ik a contrario het vermoeden af dat daarvoor in elk geval geen directe aanwijzing bestaat. Resteren dan als mogelijk kwetsbare platformen: MS Windows, Linux/UNIX of, vooralsnog niet uit te sluiten, cross-platform. Als het over centrale servers gaat, kan dat natuurlijk Linux systemen betreffen, ook die zijn niet onkwetsbaar, maar dat deze Clop gijzelprogrammatuur Linux ook zou raken heb ik nog niet vernomen. Daarom wil ik weten of nog andere platformen bij deze aanval getroffen zijn.

Mijn vraag vloeit ook voort uit een vermoeden, vrees, dat de monocultuur van MS Windows bij overheid, bedrijfsleven en ook in het onderwijs, onze maatschappij in hoge mate kwetsbaar maakt. Daarbij gevoegd dat (update)beheer van MS Windows systemen vaak problematisch is, al is het maar als erfenis van het verleden en dat mede daardoor een cultuur rond het MS Windows platform is ontstaan dat afwijkend gedrag van systemen volstrekt normaal is (repressieve tolerantie). Vele jaren van standaard gebruik van accounts met administratieve privileges, onveilige authenticatie (NTLMHASH, MS Chap), onbruikbare foutmeldingen, chaotische en houtje-touwtje installatieprogramma's (uitgevoerd met goddelijke rechten), verstopte bestandsextenties, voor gebruikers schrijfbare mappen voor programmatuur, voorrang voor reclameuitingen boven eenvoud (o.a. die "gratis" meegeleverde viruscheckers), enz enz geeft weinig vertrouwen. Waar lang en stelselmatig de belangen niet zijn afgewogen in het belang van veiligheid of de gebruiker, moet, ja moet, men het ergste vrezen.

Dit soort calamiteiten als nu bij de UM moeten een ernstige waarschuwing zijn.

p.s.
Ik maak mij echt zorgen, maar ach, dat is zo ontzettend 2019

Er hoeft helemaal geen sprake te zijn van een kwetsbaarheid (in welk systeem dan ook). Als jij mij het wachtwoord van een account met voldoende privileges geeft dan installeer ik er zo ransomware op die alles versleutelt. Desnoods versleutel ik handmatig. Zo hoeft het niet gebeurd te zijn maar het zou wel kunnen.

Goed dat je dit beaamt en deze keer niet roept dat het met OSS niet zou zijn gebeurd. Ga zo door!

Nb. dit is niet sarcastisch bedoeld, ik meen het serieus.

Dat heeft nog nooit iemand geroepen. Wel dat goed gereedschap het halve werk is! en meer garanties biedt naar de toekomst.

Als je instaat bent om bijna alle windows te hacken is er iets goed mis met de inrichting opgezet door gecertificeerde professionals. Dat is met een ander systeem nog nooit gebeurd, althans niet in het nieuws verschenen. Misschien ook de reden dat windows op de server niet meer zo populair is.

Bekijk de FAQ-lijst op de website van de Universiteit Maastricht, voor de antwoorden op de meest gestelde vragen. De inhoud daarvan wordt zeker de komende paar weken nog constant bijgewerkt. Dus bij twijfel die lijst opnieuw raadplegen:

Dacht ik ook maar misschien is er in het heetst der strijd iets ontschoten...

De ransom pagina is nog steeds leeg: https://www.maastrichtuniversity.nl/nl/support/ict-voorzieningen/spelregels-en-beleid/ransomware

Microsoft is langs geweest De bijna alle windowssystemen zijn gehackt verwijzingen zijn weg. Wat mij verder opvalt is dat er geen meldingen zijn over laptops van studenten die besmet zouden zijn. Zijn dat betere systeembeheerders dan die van dat servicebureau of gebruiken die allemaal een Mac Air tegenwoordig?

"De ransom pagina is nog steeds leeg: https://www.maastrichtuniversity.nl/nl/support/ict-voorzieningen/spelregels-en-beleid/ransomware"
Ik heb daar wel een copietje van ...
Misschien nuttig als documentatie? "Herken de geschiedenis als je er midden in zit" (citaat van Geert Mak).

"Microsoft is langs geweest De bijna alle windowssystemen zijn gehackt verwijzingen zijn weg .."
https://www.maastrichtuniversity.nl/nl/nieuws/um-getroffen-door-cyberaanval
"Bijna alle Windows-systemen zijn geraakt en vooral e-mail kan niet worden gebruikt .."
Dat staat er nog wel ...

Daar stond eerder nog openbare informatie van de ICTS over de backup rotatie en retentie. De inhoud daarvan is waarschijnlijk om preventieve, tactische redenen verwijderd. Men wilde zich niet verder in de kaarten laten kijken.

Als alleen de administrators van het Windows netwerk van de Universiteit Maastricht het hoofddoel van de aanval waren (daar lijkt het op), dan ontspringen de studenten met hun eigen Windows laptops, met alleen Windows Defender, misschien de dans. Zo niet, dan spelen zich inmiddels in Maastrichtse studentenhuizen op laptops drama's af.