Ransomware Universiteit Maastricht: achter de schermen

De ransomware-aanval bij Universiteit Maastricht “zal in het collectieve geheugen van de universiteit bewaard blijven”, aldus Nick Bos, vicevoorzitter van het CvB, tijdens het symposium over de aanval die in december 2019 plaatsvond. Bart van den Heuvel is corporate information and security officer (CISO) bij UM. Hij was vanaf het begin betrokken.

Draadvrije campus

Nachtwerk

Op 23 december, half 10 ’s avonds, kreeg ik een telefoontje dat er iets aan de hand was. Een paar uur later was ik ook ter plekke, want het bleek om een ernstig incident te gaan: ransomware. Het CERT-team had het netwerk al dichtgezet en de belangrijkste betrokkenen waren op de hoogte, onder andere het bestuur. We hebben tot diep in de nacht contact gehad met SURFcert, maar ook met Fox-IT, om uit te zoeken wat er precies aan de hand was en hoe we het beste konden handelen.

De volgende dag hebben we meteen een crisismanagementteam ingericht. Als CISO richtte ik me op risk assessment, aanvullende maatregelen  en vakinhoudelijke communicatie. Ik heb tijdens het hele proces contact onderhouden met bijvoorbeeld SURFcert, het NCSC, de politie en ook het Team High Tech Crime van de politie.

Privémailadres

Bart van den Heuvel

Bart van den Heuvel, CISO bij Universiteit Maastricht

Portretfoto van Bart van den Heuvel

Het was al meteen duidelijk dat het om een grootschalige ransomware aanval ging. De grote vraag was of we de mogelijkheid zouden hebben zelf onze gegevens te ontsleutelen, of dat we daarvoor contact moesten opnemen met de gijzelaars. We besloten na een paar dagen dat we dat wilden. Het contact verliep via mijn privémailadres, want mijn werkmail was door de gijzeling niet bereikbaar. Alle communicatie met de hackers verliep in overleg we met het bestuur, onze jurist en de afdeling communicatie. We moesten steeds inschatten hoe de gijzelnemers zouden reageren. Soms besloten we tijd te winnen door zelf technische vragen te stellen.

Krijgen we de sleutel?

De beslissing om te betalen vormde een ethisch en moreel dilemma, met name het bestuur  heeft  het er lang over gehad. Maar uiteindelijk bleek dat er geen andere optie was, er stond te veel op het spel voor onze studenten en onderzoekers. De inschatting was dat de gijzelnemers ons een werkende sleutel zouden leveren na de betaling. Deze criminelen zijn erbij gebaat om hun belofte na te komen, anders gaat bij een volgende actie niemand meer betalen. Daar moesten we op vertrouwen. Eerst hebben we nog een paar versleutelde testbestanden gestuurd, die ze ontsleuteld hebben teruggestuurd. Zo wisten we dat ze niet bluften. Vervolgens hebben we betaald – met bitcoins – en kregen we inderdaad de sleutel waarmee onze bestanden ontsleuteld konden worden.

Uiteindelijk was er geen andere optie dan betalen, er stond te veel op het spel.

Informatie delen

Gedurende het hele incident hebben we zoveel mogelijk informatie gedeeld met SURFcert en onze operationele beveiligingscommunity SCIRT. Bijvoorbeeld door tips te geven en IOC’s (indicators of compromise; mogelijke risico’s) te delen. We konden helaas niet alle informatie onmiddellijk delen, ook niet met SURFcert; we moest steeds een aantal belangen afwegen. Gelukkig was daar begrip voor in de community.

Uit dit incident hebben we natuurlijk een aantal lessen getrokken. De belangrijkste:

  • De logging en monitoring van onze systemen moet beter. Daarvoor zijn we bezig een security operating centre (SOC) in te richten. Twee mensen waren daar al voor vrijgemaakt. Zij zouden per 1 januari beginnen, maar ‘mochten’ dus noodgedwongen een week eerder aan de bak.
  • Back-ups gaan we beter regelen. In tegenstelling tot wat er in de pers verscheen, waren lang niet al onze back-ups verdwenen, maar wel een belangrijk aantal. We gaan naast de online back-ups, die snel ingezet kunnen worden, ook back-ups neerzetten die op een andere manier afgeschermd zijn. Die back-ups staan niet altijd echt offline, bijvoorbeeld op tape, maar kunnen niet zomaar geraakt worden als het operationele systeem onder vuur ligt.
  • We gaan onze configuration management database (CMDB) verbeteren, zodat we beter overzicht hebben van welke systemen zich allemaal in ons netwerk bevinden. Veel systemen worden decentraal ingericht, en daar hebben we nu centraal niet altijd een goed overzicht van.
  • We gaan het netwerk nog beter segmenteren, onder andere door microsegmentatie, waarbij iedere server achter een eigen firewall zit. Maar ook door admin-accounts beter te scheiden, zodat een beheerder niet meer automatisch overal bij kan.
  • Security by design en by default is een must. We zijn nu al ons netwerk aan het herontwerpen, bijvoorbeeld bij het inzetten van firewalls.

Never waste a good crisis

Door de crisis konden we ook een aantal maatregelen die al gepland stonden, versneld doorvoeren. We stonden bijvoorbeeld op het punt om studenten te verplichten hun universiteitsaccount te voorzien van een lang, veilig wachtwoord. We waren al een communicatiecampagne aan het voorbereiden, maar nu moest iedereen toch zijn wachtwoord wijzigen. Dus hebben we meteen afgedwongen dat alle nieuwe wachtwoorden lang zijn.

Door de crisis konden we ook een aantal maatregelen die al gepland stonden, versneld doorvoeren.

Saamhorigheid

Bijzonder vond ik de saamhorigheid die ik ervaren heb tijdens dit incident. Iedereen zette zich maximaal in om al onze systemen zo snel mogelijk weer bereikbaar te maken. We hebben de mens ook steeds in de gaten gehouden, bijvoorbeeld door iedereen, ondanks de krappe deadlines, op 1 januari vrij geven. Daarnaast kregen we hulp van collega-instellingen en van SURF: zo heeft SURF in no time voor ons een tijdelijke mailserver ingericht, zodat we snel weer goed konden communiceren met onze studenten, medewerkers en contacten buiten de universiteit.