Interneten, élőben közvetített sajtótájékoztatón ismertette a Maastricht Egyetem a tavaly karácsonykor őket ért informatikai támadás következményeit. Az egyetem 30 bitcoin – akkori árfolyamon közel 70 millió forint – váltságdíjat fizetett.

A holland nyelv ismerői a YouTube csatornán most is megtekinthetik azt a február 5-én élőben közvetített sajtótájékoztatót, melyen a Maastricht Egyetem képviselői mondják el a tavaly karácsonyi hackertámadás körülményeit.

Az egyetem problémái még 2019. október 15-én és 16-án kezdődtek, amikor munkatársaik két fertőzött e-mailt kinyitottak két különböző munkaállomáson. A számítógépeken keresztül a támadók hozzáfértek az egyetem hálózatához. Ezután a bűnözők több szerveren is próbálkoztak, kisebb-nagyobb sikerrel, de november 21-én végül találtak egy olyan szervert, melyre nem telepítettek egy biztonsági frissítést, így azon keresztül adminisztrációs jogosultságokat szereztek az egyetemi hálózathoz.

Az elkövetkező egy hónapban a támadók nem tettek semmit, a zsarolóvírusos támadást készítették elő. Azután december 23-án – amikor biztosak voltak benne, hogy senki sem tartózkodik az egyetemi hálózat közelében –, elindították a Clop zsarolóvírust.

A zsarolóvírust a rendszeren futó (nem tisztázott márkájú) antivírus megoldás elfogta és hatástalanította. Azonban mivel a támadók már korábban adminisztrátori jogosultságot szereztek, egyszerűen kikapcsolták az antivírus megoldást, majd zavartalanul telepítették a zsarolóvírust, és összesen 267 szervert fertőztek meg.

A támadás észlelése után az egyetem munkatársai közül legalább kétszázan próbálták elhárítani a károkat. Nemcsak az informatikai szakemberek, hanem rengeteg más kolléga is próbálta a 19 ezer diákot kiszolgáló hálózati infrastruktúrát feléleszteni:

„ … a karok és támogató szolgáltatások munkatársai közül rengetegen foglalkoztak szabadidejükben a mentési munkálatokkal, hiszen más-más ismerte a diákok szociális, tanulmányi életét kiszolgáló rendszereket. Voltak közöttük óraadók, diákok, diáktanácsadók, pszichológusok, helpdesk kiszolgáló személyzet, jogi, pénzügyi, HR és akadémiai tudással felvértezett tanácsadók, az egyetemi könyvtár személyzete, az épületek kinyitásáért és menedzseléséért felelős személyzet … rengetegen segítettek szabadidejükben.”

Az egyetem december 29-én, hat nappal a fájlok titkosítása után szembesült a nagy kérdéssel, hogy fizessenek-e a zsarolóknak. Végül a fizetés mellett döntöttek, ennek hátterét pedig Nick Bos, az egyetem alelnöke magyarázta meg:

„A döntésben meg kellett vizsgálnunk, hogy milyen mértékben és mennyi idő alatt vagyunk képesek visszaállítani a teljes rendszert, vagyis mennyi ideig késlekedne a diákok oktatása, a mindennapi rutin feladatok elvégzése. A szakértők szerint saját feloldó kulcsot fejleszteni vagy teljesen lehetetlen, vagy nagyon időigényes (és ennek hosszát nem is lehet megbecsülni). Ha nincs a kulcs, az azt jelenti, hogy az egyetemnek a nulláról kell felépítenie minden rendszerét, amellett, hogy az adatokra nem számíthat, úgy kell tekinteni, mintha nem is léteznének háttérmentések. Ebben az esetben hónapokba telne, míg az egyetemi oktatás, a kutatás és üzleti tevékenységek részlegesen működnének. Teljesen előre láthatatlan, hogy mindez milyen mértékű kárt okozna a diákok, kutatók, tanárok számára, az intézmény folyamatos és fenntartható működésére nézve.

A zsarolódíj kifizetése után és a titkosító kulcs megérkezésével az intézmény folyamatos működése elviekben hamarabb és gyorsabban garantált. Ezek után elegendő lenne kitakarítani a meglévő, kompromittált rendszereket, ez a folyamat sokkal kevesebb időt venne igénybe, mint nulláról felépíteni a teljes rendszert, az adatokat betölteni a háttértárolókról.

Ezzel a dilemmával szembesülve, az egyetem végső soron egy független döntés hozott, mely a diákok, személyzet és az intézet érdekeit szolgálta: megvásárolni a kioldó kulcsot. Nem volt könnyű döntés, de meg kellett hozni.”

És úgy tűnik, drága, ámde jó döntést hoztak, ugyanis az egyetem január 6-án képes volt fogadni a diákokat, az előttük álló folyamatok – melyek vizsgákat is magukba foglaltak – nagyon keveset vagy egyáltalán nem szenvedtek a támadás következtében. Az egyetem levonta a magára vonatkozó tanulságokat, és úgy döntött, kiberbiztonságának megerősítése mellett a támadás részleteit más, érdeklődő intézményekkel is megosztja, hadd tanuljon belőle a világ.

Mit tehetünk hozzá a történethez?

Többször figyelmeztettünk már rá, hogy zsarolóvírusos támadások esetében nagyon rizikós váltságdíjat fizetni, mivel a feloldókulcs megküldése és működése egyáltalán nem garantált. Sőt, a leginkább terjedő kártevők toplistáját egy olyan zsarolóvírus, a GrandCrab vezeti, amelynek fejlesztői már nem aktívak, és így a feloldókulcsot sem fogják megküldeni.

A holland egyetemet ért támadás azonban nem tipikus zsarolóvírusos támadás volt, hanem egy célzott betörés. A hónapokon keresztül zajló akció során a hackerek először bejutottak a rendszerbe, majd egy hiányzó biztonsági frissítésnek köszönhetően ott rendszergazdai jogosultságot szereztek. Ennek kapcsán az egyetem szakértői bizakodhattak abban, hogy a váltságdíj kifizetésekor megkapják a működő feloldókulcsot, és ez a számításuk bevált.

Az egyetem példája emellett arra is felhívja a figyelmet, hogy a frissített és jól beállított antivírus rendszer önmagában nem elegendő: szükséges a biztonsági frissítések telepítése és a mentési rendszer átgondolt felépítése is.