Fizettek, mint a Maastricht Egyetem…

Interneten, élőben közvetített sajtótájékoztatón ismertette a Maastricht Egyetem a tavaly karácsonykor őket ért informatikai támadás következményeit. Az egyetem 30 bitcoin – akkori árfolyamon közel 70 millió forint – váltságdíjat fizetett.

A holland nyelv ismerői a YouTube csatornán most is megtekinthetik  a február 5-én élőben közvetített azt a sajtótájékoztatót, melyen a Maastricht Egyetem képviselői mondják el a tavaly karácsonyi hackertámadás körülményeit.

Az egyetem problémái még 2019. október 15-én és 16-án kezdődtek, amikor munkatársaik két, fertőzött e-mailt kinyitottak két különböző munkaállomáson. A számítógépeken keresztül a támadók hozzáfértek az egyetem hálózatához. Ezután a bűnözők több szerveren is próbálkoztak, kisebb-nagyobb sikerrel. November 21-én végül találtak egy olyan szervert, melyre nem telepítettek egy biztonsági frissítést, így azon keresztül adminisztrációs jogosultságokat szereztek az egyetemi hálózathoz.

A következő egy hónapban a támadók nem tettek semmit, a zsarolóvírusos támadást készítették elő. Azután december 23-án – amikor biztosak voltak benne, hogy senki sem tartózkodik az egyetemi hálózat közelében –, elindították a Clop zsarolóvírust.

A zsarolóvírust a rendszeren futó (nem tisztázott márkájú) antivírus-megoldás elfogta és hatástalanította. Azonban mivel a támadók már korábban adminisztrátori jogosultságot szereztek, egyszerűen kikapcsolták az antivírus megoldástmajd zavartalanul telepítették a zsarolóvírust, és összesen 267 szervert fertőztek meg.

A támadás észlelése után az egyetem munkatársai közül legalább kétszázan próbálták elhárítani a károkat. Nemcsak az informatikai szakemberek, hanem rengeteg más kolléga is próbálta a 19 ezer diákot kiszolgáló hálózati infrastruktúrát feléleszteni:

„ … a karok és támogató szolgáltatások munkatársai közül rengetegen foglalkoztak szabadidejükben a mentési munkálatokkal, hiszen más-más ismerte a diákok szociális, tanulmányi életét kiszolgáló rendszereket. Voltak közöttük óraadók, diákok, diáktanácsadók, pszichológusok, helpdesk-kiszolgáló személyzet, jogi, pénzügyi, HR- és akadémiai tudással felvértezett tanácsadók, az egyetemi könyvtár személyzete, az épületek kinyitásáért és menedzseléséért felelős személyzet … rengetegen segítettek a szabad idejükben.”

Az egyetem december 29-én, hat nappal a fájlok titkosítása után szembesült a nagy kérdéssel, hogy fizessenek-e a zsarolóknak. Végül a fizetés mellett döntöttek, ennek hátterét pedig Nick Bos, az egyetem alelnöke magyarázta meg:

„A döntésben meg kellett vizsgálnunk, hogy milyen mértékben és mennyi idő alatt vagyunk képesek visszaállítani a teljes rendszert, vagyis mennyi ideig késlekedne a diákok oktatása, a mindennapi rutin feladatok elvégzése. A szakértők szerint saját feloldó kulcsot fejleszteni vagy teljesen lehetetlen, vagy nagyon időigényes (és ennek hosszát nem is lehet megbecsülni). Ha nincs a kulcs, az azt jelenti, hogy az egyetemnek a nulláról kell felépítenie minden rendszerét, amellett, hogy az adatokra nem számíthat, úgy kell tekinteni, mintha nem is léteznének háttérmentések. Ebben az esetben hónapokba telne, míg az egyetemi oktatás, a kutatás és üzleti tevékenységek részlegesen működnének. Teljesen előre láthatatlan, hogy mindez milyen mértékű kárt okozna a diákok, kutatók, tanárok számára, az intézmény folyamatos és fenntartható működésére nézve.

A zsarolási díj kifizetése után és a titkosító kulcs megérkezésével az intézmény folyamatos működése elviekben hamarabb és gyorsabban garantált. Ezek után elegendő lenne kitakarítani a meglévő, kompromittált rendszereket, ez a folyamat sokkal kevesebb időt venne igénybe, mint nulláról felépíteni a teljes rendszert, az adatokat betölteni a háttértárolókról.

Ezzel a dilemmával szembesülve, az egyetem végső soron egy független döntés hozott, mely a diákok, személyzet és az intézet érdekeit szolgálta: megvásárolni a kioldó kulcsot. Nem volt könnyű döntés, de meg kellett hozni.”

És úgy tűnik, drága, ámde jó döntést hoztak, ugyanis az egyetem január 6-án képes volt fogadni a diákokat, az előttük álló folyamatok – melyek vizsgákat is magukba foglaltak – nagyon keveset vagy egyáltalán nem szenvedtek a támadás következtében. Az egyetem levonta a magára vonatkozó tanulságokat, és úgy döntött, kiberbiztonságának megerősítése mellett a támadás részleteit más, érdeklődő intézményekkel is megosztja, hadd tanuljon belőle a világ.

Mit tehetünk hozzá a történethez?

Többször figyelmeztettünk már rá, hogy zsarolóvírusos támadások esetében nagyon rizikós váltságdíjat fizetni, mivel a feloldókulcs megküldése és működése egyáltalán nem garantált. Sőt, a leginkább terjedő kártevők toplistáját egy olyan zsarolóvírus, a GrandCrab vezeti, amelynek fejlesztői már nem aktívak, és így a feloldókulcsot sem fogják megküldeni.

A holland egyetemet ért támadás azonban nem tipikus zsarolóvírusos támadás volt, hanem egy célzott betörés. A hónapokon keresztül zajló akció során a hackerek először bejutottak a rendszerbe, majd egy hiányzó biztonsági frissítésnek köszönhetően ott rendszergazdai jogosultságot szereztek. Ennek kapcsán az egyetem szakértői bizakodhattak abban, hogy a váltságdíj kifizetésekor megkapják a működő feloldókulcsot, és ez a számításuk bevált.

Az egyetem példája emellett arra is felhívja a figyelmet, hogy a frissített és jól beállított antivírus rendszer önmagában nem elegendő: szükséges a biztonsági frissítések telepítése és a mentési rendszer átgondolt felépítése is.