Interneten, élőben közvetített sajtótájékoztatón ismertette a Maastricht Egyetem a tavaly karácsonykor őket ért informatikai támadás következményeit. Az egyetem 30 bitcoin – akkori árfolyamon közel 70 millió forint – váltságdíjat fizetett.

A YouTube-on most is megtekinthető a február 5-én élőben közvetített sajtótájékoztató, melyen a Maastricht Egyetem képviselői mondják el a tavaly karácsonyi hackertámadás körülményeit.

Az egyetem problémái még 2019. október 15-én és 16-án kezdődtek, amikor munkatársaik két fertőzött e-mailt kinyitottak két különböző munkaállomáson. A számítógépeken keresztül a támadók hozzáfértek az egyetem hálózatához. Ezután a bűnözők több szerveren is próbálkoztak, kisebb-nagyobb sikerrel, de november 21-én végül találtak egy olyan szervert, melyre nem telepítettek egy biztonsági frissítést, így azon keresztül

adminisztrációs jogosultságokat szereztek az egyetemi hálózathoz.

Az elkövetkező egy hónapban a támadók nem tettek semmit, a zsarolóvírusos támadást készítették elő. Azután december 23-án – amikor biztosak voltak benne, hogy senki sem tartózkodik az egyetemi hálózat közelében –, elindították a Clop zsarolóvírust.

A zsarolóvírust a rendszeren futó (nem tisztázott márkájú) antivírus megoldás elfogta és hatástalanította. Azonban mivel a támadók már korábban adminisztrátori jogosultságot szereztek, egyszerűen kikapcsolták az antivírus megoldást, majd zavartalanul telepítették a zsarolóvírust, és összesen 267 szervert fertőztek meg – írja a G Data.

A támadás észlelése után az egyetem munkatársai közül legalább kétszázan próbálták elhárítani a károkat. Nemcsak az informatikai szakemberek, hanem rengeteg más munkatárs is próbálta a 19 ezer diákot kiszolgáló hálózati infrastruktúrát feléleszteni.

Olcsóbb volt engedni a zsarolásnak

Az egyetem december 29-én, hat nappal a fájlok titkosítása után szembesült a nagy kérdéssel, hogy fizessenek-e a zsarolóknak. Végül a fizetés mellett döntöttek, ennek hátterét pedig Nick Bos, az egyetem alelnöke magyarázta meg:

„A döntésben meg kellett vizsgálnunk, hogy milyen mértékben és mennyi idő alatt vagyunk képesek visszaállítani a teljes rendszert, vagyis mennyi ideig késlekedne a diákok oktatása, a mindennapi rutin feladatok elvégzése. A szakértők szerint saját feloldó kulcsot fejleszteni vagy teljesen lehetetlen, vagy nagyon időigényes (és ennek hosszát nem is lehet megbecsülni). Ha nincs a kulcs, az azt jelenti, hogy az egyetemnek a nulláról kell felépítenie minden rendszerét, amellett, hogy az adatokra nem számíthat, úgy kell tekinteni, mintha nem is léteznének háttérmentések. Ebben az esetben hónapokba telne, míg az egyetemi oktatás, a kutatás és üzleti tevékenységek részlegesen működnének. Teljesen előre láthatatlan, hogy mindez milyen mértékű kárt okozna a diákok, kutatók, tanárok számára, az intézmény folyamatos és fenntartható működésére nézve.

A zsarolódíj kifizetése után és a titkosító kulcs megérkezésével az intézmény folyamatos működése elviekben hamarabb és gyorsabban garantált. Ezek után elegendő lenne kitakarítani a meglévő, kompromittált rendszereket, ez a folyamat sokkal kevesebb időt venne igénybe, mint nulláról felépíteni a teljes rendszert, az adatokat betölteni a háttértárolókról.

Ezzel a dilemmával szembesülve, az egyetem végső soron döntés hozott, mely a diákok, személyzet és az intézet érdekeit szolgálta: megvásárolni a kioldó kulcsot. Nem volt könnyű döntés, de meg kellett hozni.”

És úgy tűnik, drága, ámde jó döntést hoztak, ugyanis az egyetem január 6-án képes volt fogadni a diákokat, az előttük álló folyamatok – melyek vizsgákat is magukba foglaltak – nagyon kevés hátrányt a támadás következtében. Az egyetem levonta a magára vonatkozó tanulságokat, és úgy döntött, kiberbiztonságának megerősítése mellett a támadás részleteit más, érdeklődő intézményekkel is megosztja, hadd tanuljon belőle a világ.

Mit lehet hozzátenni a történethez?

Zsarolóvírusos támadások esetében kétséges megoldás váltságdíjat fizetni, mivel a feloldókulcs megküldése és működése egyáltalán nem garantált. Sőt, a leginkább terjedő kártevők toplistáját egy olyan zsarolóvírus, a GrandCrab vezeti, amelynek fejlesztői már nem aktívak, és így a feloldókulcsot sem fogják megküldeni.

A holland egyetemet ért támadás azonban nem tipikus zsarolóvírusos támadás volt, hanem egy célzott betörés. A hónapokon keresztül zajló akció során a hackerek először bejutottak a rendszerbe, majd egy hiányzó biztonsági frissítésnek köszönhetően ott rendszergazdai jogosultságot szereztek. Ennek kapcsán az egyetem szakértői bizakodhattak abban, hogy a váltságdíj kifizetésekor megkapják a működő feloldókulcsot, és ez a számításuk bevált.

Az egyetem példája emellett arra is felhívja a figyelmet, hogy a frissített és jól beállított antivírus rendszer önmagában nem elegendő: szükséges a biztonsági frissítések telepítése és a mentési rendszer átgondolt felépítése is.

