В декабре Маастрихтский университет подвергся атаке вымогателей, теперь университет признал, что заплатил выкуп, запрошенный мошенниками.
В декабре 2019 года Университет Маастрихта (UM) объявил, что 23 декабря вымогатель заразил почти все свои компьютеры с установленной системой Windows.
Маастрихтский университет - превосходный университет, в котором обучаются более 18 000 студентов, около 4 400 сотрудников и 70 000 выпускников.
«Маастрихтский университет (UM) подвергся серьезной кибератаке. Были затронуты почти все системы Windows, и серьезные проблемы возникли при использовании почтовых служб », - говорится в уведомлении, опубликованном единой системой обмена сообщениями в декабре. «UM в настоящее время работает над решением проблеммы. Дополнительные меры безопасности были приняты для защиты (научных) данных. UM расследует, имели ли кибер-злоумышленники доступ к этим данным ».
Университет не раскрыл подробности атаки или семейства вымогателей (ransowere), которые заразили его системы. Неясно, взломали ли злоумышленники данные из систем перед их шифрованием.
Теперь университет (UM) признал, что заплатил выкуп в размере 30 ВТС, запрошенных злоумышленниками.
«Часть нашей технической инфраструктуры пострадала во время атаки. Эта инфраструктура состоит из 1 647 серверов Linux и Windows и 7 307 рабочих станций. В конечном итоге атака была направлена на 267 серверов домена Windows. Злоумышленник сосредоточился на шифровании файлов данных в домене Windows. Резервноекопированиеограниченногочисласистемтакжебылозатронуто».
Теперь все критически важные системы в университете подключены к сети, а резервное копирование в автономном режиме обеспечивается компанией.
По словам экспертов по безопасности из Fox-IT, атака вымогателей совместима с другими атаками, проводимыми бандой киберпреступности TA505.
«Способ действия группы, стоящей за этой конкретной атакой, связан с преступной группой, которая уже имеет давнюю историю и восходит как минимум к 2014 году», - говорится в полном отчете Fox-IT для UM (на голландском языке).
Хакерская группа TA505 работает с 2014 года, специализируясь на розничном и банковском секторах. Группа также известна некоторыми уклончивыми методами, которые они внедрили в течение долгого времени, чтобы избежать контроля безопасности и проникнуть в корпоративные периметры с несколькими видами вредоносных программ, например, злоупотребляя так называемыми LOLBins (Living Off The Land Binaries), регулярно используемые законными программами жертвой, а также злоупотреблением действительными криптографически подписанными полезными нагрузками.
Группа TA505 участвовала в кампаниях по распространению банковского трояна Dridex вместе с семьями Locky, BitPaymer, Philadelphia, GlobeImposter и Jaff Ransomware.
Эксперты по безопасности из компании Prevailion по кибербезопасности сообщили, что TA505 скомпрометировал более 1000 организаций.
Недавно Microsoft предупредила, что TA505 изменил тактику в текущей вредоносной кампании
Эксперты Fox-IT считают, что хакеры TA505 взломали системы университета с помощью фишинговых сообщений, по крайней мере два вредоносных электронных письма были открыты в двух системах единой системы обмена сообщениями 15 и 16 октября.
Злоумышленники получили права администратора на не исправленной машине до 21 ноября и использовали боковые движения, чтобы заразить как можно больше систем с помощью вымогателей Clop.
После тщательного анализа возможностей 30 декабря Маастрихтский университет заплатил выкуп за расшифровку своих файлов.
UM приобрела расшифровщик вымогателей, заплатив выкуп в 30 биткойнов (примерно 220 000 долларов или 220 000 евро).
В ходе расследования были обнаружены следы, которые показывают, что злоумышленник собирал данные, касающиеся топологии сети, имен пользователей и паролей нескольких учетных записей, а также другую информацию об архитектуре сети », - говорится в отчете. «В ходе расследования были обнаружены следы, которые показывают, что злоумышленник собирал данные, касающиеся топологии сети, имен пользователей и паролей нескольких учетных записей, а также другую информацию об архитектуре сети. Fox-IT не обнаружила никаких следов в рамках расследования, которые указывают на сбор других типов данных ».
Решение было принято Исполнительным советом после оценки последствий длительного простоя на серверах в университете.
«Это решение не было легкомысленным Исполнительным советом. Но это было также решение, которое нужно было принять », - заявляет UM. «Мы посчитали, что, посоветовавшись с нашим руководством и нашими надзорными органами, мы не смогли сделать какой-либо другой ответственный выбор, учитывая интересы наших студентов и сотрудников».
«Тот факт, что 6 января и после этого мы смогли провести обучение и сдать экзамены, более или менее в соответствии с планом, что исследователи единой системы обмена сообщениями понесли небольшой или нулевой непоправимый ущерб, и что мы также смогли выплатить зарплату 4500 сотрудникам вовремя укрепляет нашу уверенность в том, что мы сделали правильный выбор ».