Universiteit Maastricht betaalt losgeld

Hoe lang het gaat duren voor alle systemen weer werken is nog niet duidelijk volgens interim-woordvoerder Fons Elbersen. De UM-woordvoerder wil het bericht over het betalen van losgeld bevestigen noch ontkennen; zo lang het onderzoek naar de hack en zijn gevolgen nog loopt doet de universiteit geen mededelingen, ook al omdat men de ‘digitale veiligheid’ niet in gevaar wil brengen.

Deskundigen beweren, onder meer op techsites als Tweakers en Security.nl, dat dit soort hacks met ransomware of gijzelsoftware meestal eindigen met betaling. Al was het maar omdat dat uiteindelijk vaak goedkoper blijkt dan weken- of misschien maandenlange reparaties waarbij de instelling langdurig vleugellam is. Dat kan in de tonnen, zo niet in de miljoenen lopen.

Dat risico liep de UM ook. De UM is dan ook niet de eerste universiteit die toegeeft aan de eisen van digitale afpersers. De universiteit van Calgary in Canada maakte in 2016 uit eigen beweging bekend betaald te hebben na een hack. Dat was een relatief gering bedrag, 20 duizend dollar. De UM zou nu naar verluid enkele tonnen hebben betaald. Vermoedelijk in bitcoins, de valuta waar cybercriminelen bij voorkeur mee werken.

Toeval of niet, een soortgelijk bedrag van twee ton was door Frank Groenewegen, chief security expert bij cyberbeveiligingsbedrijf Fox-IT, dat ook bij de reddingsoperatie van de UM betrokken is, op Radio 1 genoemd, kort na de aanval op de UM. Het gesprek ging over het verzekeren van dit soort schades (de UM is hiervoor niet verzekerd), iets waar Groenewegen bezwaar tegen heeft omdat daarmee het verdienmodel van dit soort criminelen in stand wordt gehouden. Bovendien is de vraag wat je moet verzekeren, zei hij. De betaling van bijvoorbeeld twee ton losgeld,maar niet de gemaakte reparatiekosten en gedwongen inactiviteit die zes ton of meer kunnen belopen? Groenewegen was vanmorgen (2 januari) niet bereikbaar voor nader commentaar.

De procedure die nu in het samenspel tussen de criminelen en UM is gevolgd lijkt volgens het boekje te zijn verlopen. IT-deskundigen omschrijven die praktijk als volgt: de netwerken van de getroffen instelling worden op slot gezet, de hackers maken hun eisen bekend, tegen betaling van een gering bedrag repareren ze een paar bestanden en sturen die ‘schoon’ terug, waarna betaling van de rest van het bedrag volgt en de sleutel wordt overhandigd.

Een belangrijke vraag is natuurlijk of de afpersers bestanden hebben buitgemaakt waarmee ze de UM of wetenschappers later opnieuw zouden kunnen chanteren. Daarover is nog niets naar buiten gekomen.

Ook de herkomst van de hack is nog altijd mistig. In media als De Limburger en later ook de NOS werden IT-experts opgevoerd die naar Rusland wijzen. Andere experts noemen dit soort berichten dan weer pure speculatie, het traceren van dit soort hackers is als het zoeken van een speld in een hooiberg. Overigens zijn de hackers van Calgary twee jaar geleden alsnog gevonden. Het bleken Iraniërs te zijn.

De UM zal in de nabije toekomst, als het onderzoek naar de hack achter de rug is, “alles wat eruit komt” delen met zusteruniversiteiten en andere belanghebbenden zoals opsporingsinstanties en cybersecuritybedrijven, zo meldt woordvoerder Elbersen.