Ransomwareangreb på universiteter i Holland og Tyskland

Af Eskil Sørensen, 08/01/20

To universiteter i hhv. Tyskland og Holland er henover julen blevet ramt af ransomwareangreb.

DKCERT er blevet bekendt med, at Justus Liebig Universität Giessen og Universiteit Maastricht henover julen har været ramt af ransomwareangreb. Angreb, der her i starten af det nye år fortsat rammer driften af visse af systemerne på universiteterne.

Ryuk Ransomware og Clop

DKCERT har spurgt den tyske forskningsnet-CERT og har fået oplyst, at angrebet på det tyske universitet ser ud til at være sket med Ryuk ransomware. Ryuk er typisk blevet lagt ind efter misbrug af Remote Desktop Protocol, inficeringer med TrickBot eller Emotet eller en kombination af disse værktøjer. Ryuk ransomware har ifølge Center for Cybersikkerhed siden august 2018 været brugt i flere målrettede ransomwareangreb mod især sundhedssektoren, offentlige myndigheder og skoler samt produktionsvirksomheder i Nordamerika og i Europa. Angrebene falder således godt i tråd med CFCS' seneste trusselsvurdering fra 29. december 2019, der taler om en stigende trussel fra målrettede ransomwareangreb.  

Det hollandske forskningsnet-CERT fortæller, at de har indikationer på, at angrebet på universitetet i Maastricht er sket ved hjælp af Clop ransomware, men de kan ikke oplyse nærmere detaljer. Et medie i Holland fortæller i øvrigt med henvisning til en kilde på universitetet, at der er blevet betalt løsesum for at få adgang til systemer, men det bliver ikke bekræftet. 

Også universitetet i Antwerpen, Belgien, har ifølge CERT.be været i berøring med ransomwareangreb, men her har angrebet ifølge DKCERTs oplysninger været fanget tidligt nok til, at der kunne retableres ved hjælp af backup.  

Daglige bulletiner

På kommunikationssiden er angrebet på universitetet i Maastricht et fint eksempel på, hvordan man kan kommunikere i en beredskabssituation. Universitetet har således sendt daglige bulletiner ud på egen hjemmeside om konsekvenserne ved angrebene, hvilket tiltag der er blevet gjort og hvad brugerne har kunnet forvente af driftsforstyrrelser. Det tyske universitet er mere sparsom med information, mens universitetet i Antwerpen slet ikke skriver noget om angrebet på sin hjemmeside.