Ransomware
Antifraudesysteem in de
prullenbak na vonnis rechter
Doodrijder van Fleur (19) thuis
opgepakt om celstraf uit te zitten
EUWS 11
Maastricht moest portemonnee trekken om servers te ontsleutelen
omdat ze rijn vergrendeld metee
unieke code. Ontgrendelen tost u
Uwfilesainniet langer b^htoaar
Voor bijna twee ton
kreeg de Universiteit
Maastricht zijn 267
versleutelde servers
terug van Russische
hackers. Gisteren
speelde de universiteit
open kaart over de
zeldzame cybercrisis:
,,In principe wil je nooit
betalen.''
Op een zuil links van het podium in
de aula staat-ie: de laptop waarmee
de cybercrisis op de Universiteit
Maastricht (UM) 15 oktober feitelijk
begon, al had niemand dat toen
door. Dit was de laptop, 'Patient
Zero' volgens jargon, waarop een
geraffineerd phishingmailtje bin
nenkwam. Het slachtoffer, een me
dewerker van de universiteit, klikte
op de geïnfecteerde link en opende
zo onbedoeld de weg voor een ef
fectieve en lucratieve cyberaanval
die de hackers uiteindelijk toegang
verschafte tot de kern van het net
werk. Via die weg konden zij 267
servers lamleggen en versleutelen
en twee ton aan losgeld konden
binnenslepen, erkende vicevoorzit-
ter Nick Bos van het universiteits
bestuur gistermiddag tijdens een
symposium over de hack in het
hoofdgebouw van de universiteit.
,,Het was een duivels dilemma",
zei Bos over betaling van het los
geld, een politiek omstreden be
sluit. „We zijn niet over één nacht
ijs gegaan. Als bestuurder gruw je
van die gedachte, maar het was een
afweging tussen de ene kant het
WAARSCHUWING
30 bitcoins, per direct te voldoen via
onderstaande link.
Betaal nu
principe om criminelen niet te be
talen, en aan de andere kant het be
lang van de continuïteit van het on
derwijs, het onderzoek, onze uni
versiteit.''
Dat laatste woog zwaarder, dus
werd 29 december de bitcoinporte-
monnee getrokken en kregen de
hackers 30 bitcoins, omgerekend
volgens de koers van toen goed voor
197.000 euro. En de criminelen ble
ken 'betrouwbaar': alle servers wer
den weer netjes ontsleuteld, de
universiteit kon langzaam maar ze
ker weer alle systemen opstarten,
en het onderwijs kon na de kerstva
kantie op 6 januari weer van start:
,,Als we alles zelf vanaf nul hadden
moeten opbouwen, had het weken,
zo niet maanden gekost", zei Bos.
Tentamens van de 19.000 studen
ten kwamen dan waarschijnlijk in
gevaar, evenals de salarisstortingen
en onderzoeken. ,,We konden geen
andere verantwoorde keuze maken,
dat zou tot onaanvaardbare risico's
leiden.''
De cybercrisis begon in Maas
tricht dus al half oktober, met het
geïnfecteerde mailtje. De weken en
maanden daarna verkenden de aan
vallers het netwerk, zo concludeert
cybersecuritybedrijf Fox IT. Op een
van de servers werd zelfs antivirus-
software uitgeschakeld. De hackers
konden zo hard toeslaan omdat de
universiteit niet overal de beveili
gingsupdates had geïnstalleerd, de
Het waseen
afweging tussen
het principe om
criminelen niet te
betalen, en het
belang van de
continuïteit
'moedersleutel' slecht verstopt was
en de meeste back-ups niet offline
werden bewaard. Veel kostbare on
derzoeksgegevens bleven buiten
schot, die data stonden op andere
servers.
Na de start van de aanval medio
oktober hadden in de daaropvol
gende weken diverse 'rode vlaggen'
moeten wapperen als de detectie
op orde was, erkent de universi
teit. Op alle punten zijn nu maatre
gelen genomen om gaten te dichten
en sneller herstel mogelijk te ma
ken. Herstelbestanden worden ook
offline bewaard, medewerkers en
studenten moeten besmette mails
beter leren herkennen, updates
moeten voortaan op alle servers
geïnstalleerd worden. ,,In principe
wil je natuurlijk nooit betalen'', zei
Michiel Borgers, Chief Information
Officer van de UM. ,,Dus nu hebben
we maatregelen genomen om niet
meer in deze situatie verzeild te ra
ken. We hebben aan experts ge
vraagd: hoe is onze cyberbeveili
ging? Zij antwoordden: het was ge
middeld. Geen gatenkaas, maar het
bleek onvoldoende, zo eerlijk moet
je zijn.''
Strop
De totale strop van de cybercrisis is
nog niet duidelijk. Behalve de twee
ton losgeld voor de hackers moest
de universiteit ook de experts van
Fox-IT inhuren. Zij werden de dag
na de hack ingeschakeld en conclu
deren na onderzoek dat een groep
criminelen van Grace-RAT waar
schijnlijk achter de aanval zit. Deze
hackers communiceren in het Rus
sisch, staan ook wel bekend als
TA505 en slaan sinds 2014 toe, eerst
vooral bij financiële instellingen, en
sinds een paar jaar ook bij bedrijven
en andere organisaties.
Er zouden verder geen gevoelige
gegevens buitgemaakt zijn, maar
vicevoorzitter Bos hoopt dat zijn
universiteit niet meer getroffen zal
worden door zo'n hack.
DEN HAAG Na een uitspraak
van een rechter stopt de over
heid met het gebruiken van
antifraudesysteem Syri. Vol
gens de rechter kan het compu
tersysteem, waarmee de over
heid allerlei gegevens van bur
gers aan elkaar koppelt, niet
door de beugel. Syri kan dus
niet meer worden ingezet als
middel tegen handhaving, con
cludeert het ministerie van So
ciale Zaken en Werkgelegen
heid. Gemeenten gebruikten
het Systeem Risico Indicatie
(Syri) om aanwijzingen voor
fraude te zoeken, maar het blijkt
een te grote inbreuk op de pri
vacy. ,,Er is haast geen per
soonsgegeven te bedenken dat
niet voor verwerking in aan
merking komt'', concludeerde
de rechtbank in Den Haag giste
ren. Bovendien is de manier
waarop het systeem werkt niet
te controleren. Het voorkomen
en bestrijden van fraude staat
niet in verhouding tot de in
breuk op het privéleven die de
wetgeving maakt. De rechtbank
verklaart daarom dat het sys
teem niet past bij het Europees
Verdrag voor de Rechten van de
Mens.
,,Wij hebben van het Openbaar
Ministerie begrepen dat hij geen
gehoor heeft gegeven aan de op
roep om aan zijn celstraf te begin
nen en dat hij daarom deze week
thuis is aangehouden'', zegt advo
caat Arlette Schijns die de moeder
van Fleur bijstaat.
Vader Walter (57) en zijn zoon,
ex-Transaviapiloot Casper van W.,
raasden in maart 2016 met hoge
snelheid door Loosdrecht. Walter
van W. had ook nog eens te veel
gedronken.
Vader en zoon waren na een
avondje uit aan het straatracen ge
slagen. Walter reed met zo'n 167
kilometer per uur in zijn Porsche
vol in de flank van de auto van
Fleur. Zij raakte zwaargewond en
overleed twee weken later.
Van W. verzette zich met hand
en tand tegen de aantijgingen van
het OM. In november 2017 werd hij
als hoofdschuldige veroordeeld tot
vier jaar cel. Zoon Casper kreeg
honderd uur werkstraf.
Van W. gaf tijdens de rechtszaak
de barvrouw de schuld van de al
cohol. Zij zou veel gin in zijn gin-
tonic hebben gedaan.
Na de veroordeling ging hij in
hoger beroep. De straf werd drie
jaar cel, omdat het straatracen niet
bewezen werd geacht. Van W. pro
beerde in hoger beroep zelfs aan te
tonen dat Fleur zonder goed te kij
ken de weg was opgereden waar
de crash plaatsvond.
Robert Balkestein, de vader van
Fleur, 'voelt geen euforie, eerder
woede' nu Walter van W. is opge
pakt. ,,Al geeft je hem twintig jaar,
je verandert hem niet. Hij is en
blijft een arrogante man. Dit te
kent de minachting die hij heeft
voor het recht.''
donderdag 6 februari 2020
GO
Russische hack komt
universiteit duur te staan
Niels Klaassen
Maastricht
Criminelen van Grace-
RAT zitten vermoedelijk
achter de aanval. foto anp
-Nick Bos, bestuur UM
Walter van W., de man die in
maart 2016 tijdens een straat
race met zijn zoon de 19-jarige
Fleur Balkestein doodreed, is
dinsdag thuis opgepakt om aan
zijn celstraf te beginnen.
Victor Schildkamp
Loosdrecht