Canadisk universitet bekræfter databrud efter påstået hackerangreb

Eskil Sørensen
07.09.2026 10:17
Angribere har både stjålet og slettet data fra universitetets filsystemer, mens en kendt trusselsaktør kræver løsesum.

Mount Royal University (MRU) i Calgary i Canada har bekræftet, at en hændelse den 17. juni 2026 udviklede sig til et alvorligt sikkerhedsbrud, hvor uvedkommende aktører fik adgang til interne systemer og efterfølgende både eksfiltrerede og slettede data. Angrebet påvirkede en række centrale tjenester, herunder onlineplatforme, internetadgang og interne systemer.

Det skriver Bleeping Computer.

Universitetet har efterfølgende engageret både interne tekniske teams og eksterne cybersikkerhedseksperter for at afdække hændelsesforløbet og understøtte genopretningen. MRU oplyser, at efterforskningen fortsat er i gang, og at omfanget af kompromitteringen endnu ikke er fuldt klarlagt.

Ifølge universitetet er data blevet hentet fra et centralt filområde – det såkaldte “H-drev” – som anvendes af både studerende og medarbejdere til lagring af filer. Herfra har en uautoriseret aktør fået adgang til og kopieret indhold fra udvalgte mapper.

Data slettet for at vanskeliggøre genopretning

Ud over selve datatyveriet fremhæver MRU, at angriberne også har slettet originale data fra H-drevet som led i angrebet. Denne kombination af datatyveri og destruktion er en kendt taktik, der sigter mod at maksimere presset på ofret og samtidig gøre genopretning vanskeligere.

Parallelt med dette blev et andet lagringsområde – “J-drevet”, der anvendes til afdelingsdata – også slettet. Universitetet oplyser, at der på nuværende tidspunkt ikke er tegn på, at indholdet på dette drev er blevet kopieret før sletningen. Alligevel understreges det, at en fuld genskabelse muligvis ikke vil være mulig.

MRU peger samtidig på, at konsekvenserne varierer fra person til person, afhængigt af hvilke data der har været lagret i de kompromitterede områder. Da dele af dataene er slettet, er det vanskeligt præcist at fastslå, hvilke oplysninger der er berørt i hvert enkelt tilfælde.

Bred personkreds kan være berørt

Ifølge universitetets egen redegørelse omfatter de kompromitterede data oplysninger om både nuværende og tidligere studerende samt nuværende og tidligere medarbejdere. Derudover nævnes en yderligere gruppe af “andre individer”, uden nærmere specifikation.

MRU har anmeldt hændelsen til både databeskyttelsesmyndighederne og til politiet. Universitetet oplyser, at berørte personer vil blive kontaktet direkte, når der foreligger et klarere billede af, hvilke data der er kompromitteret.

Som en afbødende foranstaltning tilbyder universitetet to års kreditovervågning og identitetstyveribeskyttelse til nuværende medarbejdere samt personer, der har været ansat inden for de seneste fem år.

Trusselsaktør kræver løsesum og truer med offentliggørelse

Angrebet er angiveligt blevet gennemført af gruppen “CMD Organization”, som opererer med en klassisk dobbelt afpresningsmodel. Gruppen hævder at være i besiddelse af følsomme data, herunder kopier af pas og andre personlige dokumenter, og har offentliggjort eksempler på det stjålne materiale som bevis.

CMD Organization har fremsat et krav om en løsesum på 30 bitcoin – svarende til omkring 1,9 millioner amerikanske dollars – og givet universitetet en frist på seks dage til at reagere. Hvis kravet ikke imødekommes, truer gruppen med at offentliggøre den fulde datasamling.

Gruppen anvender desuden en auktionsbaseret model, hvor data kan sælges eksklusivt til højestbydende. Ifølge tilgængelige oplysninger opererer CMD Organization både via åbne webplatforme og via darknet-infrastruktur og har aktuelt en portefølje på omkring 30 organisationer, der er udsat for lignende afpresning.

Langvarig genopretning i udsigt

MRU vurderer, at fuld genopretning af de påvirkede systemer kan tage fra flere uger til måneder. Universitetet har løbende varslet, at yderligere opdateringer vil blive delt, efterhånden som efterforskningen skrider frem.

Hændelsen illustrerer et angrebsmønster, hvor adgang, datatyveri og destruktiv manipulation kombineres, hvilket markant øger kompleksiteten i både respons og genopretning. Samtidig understreger forløbet de udfordringer, der opstår, når centrale lagringsressourcer kompromitteres, og backup- eller gendannelsesmuligheder undermineres.

Sikkerhedshændelse