Nel Dicembre 2019, più esattamente il 23, l’Università di Maastricht ha subito un attacco ransomware che ha crittografato tutti i suoi sistemi.

L’Università di Maastricht (UM) è stata colpita da un grave attacco informatico. Quasi tutti i sistemi Windows sono stati colpiti ed è particolarmente difficile utilizzare i servizi di posta elettronica.” ha dichiarato un avviso pubblicato dalla UM a dicembre.

In seguito al primo annuncio sull’attacco informatico, l’Università ha fornito degli aggiornamenti con ulteriori dettagli: è stato confermato che si è trattato di un attacco ransomware e che tutti i server DHCP, le unità di rete, i server di scambio, i controller di dominio sono stati tutti crittografati. Successivamente, è stato poi comunicato che l’origine del data breach è stata “Clop”, un ransomware scoperto nel febbraio 2019, che è una variante del ransomware CryptoMix.

Clop si concentra su server e reti di computer piuttosto che su singoli pc. Non appena il virus ha invaso una rete informatica, crittografa il maggior numero possibile di file, aggiungendo un’estensione “.clop” ai nomi di ciascun file. Una volta completata la totale crittografia dei files, il ransomware inserisce un documento di testo non crittografato sulla rete, contenente gli indirizzi e-mail che le vittime possono contattare per ottenere le istruzioni di pagamento del riscatto richiesto dai cybercriminali. Clop contiene anche un comando batch che blocca i tentativi di recupero dei dati. Al momento non è disponibile un decryptor per chi viene colpito.

Parte dell’infrastruttura tecnica è stata interessata durante l’attacco. Tale infrastruttura è composta da 1.647 server Linux e Windows e 7.307 workstation. L’attacco alla fine si è concentrato su 267 server del dominio Windows. L’attaccante si è concentrato sulla crittografia dei file di dati nel dominio Windows. Anche il backup di un numero limitato di sistemi è stato interessato.

Secondo gli esperti di sicurezza di Fox-IT, l’attacco ransomware è compatibile con altri attacchi effettuati dalla banda di criminalità informatica TA505.

ransomware

 

Il CEO della piattaforma di sensibilizzazione sulla sicurezza informatica e di analisi dei dati cloud CybSafe, Oz Alashe, ha commentato dicendo:

Nel mondo ideale, le organizzazioni non dovrebbero mai rispondere alle minacce ransomware. Ciò serve solo a finanziare le azioni delle reti criminali organizzate e degli attori canaglia dello stato-nazione. Ma in questo caso, sembra che l’università sia stata messa all’angolo. Ricostruire l’intera infrastruttura IT da zero potrebbe essere stato più costoso del semplice pagamento del riscatto di 30 bitcoin. Il gruppo accusato di questo attacco, TA505, è motivato finanziariamente e noto per le sue varietà di ransomware di successo. Sembra probabile, in base alla precedente attività del gruppo, che questo malware sia stato distribuito tramite una campagna di phishing”.

Dopo un’attenta analisi delle possibilità, infatti, il 30 Dicembre l’Università, che vanta 18.000 studenti, circa 4.400 dipendenti e 70.000 ex studenti, ha pagato il riscatto richiesto per decrittografare i suoi file. La decisione è stata presa dal Consiglio Direttivo dopo aver valutato le conseguenze dell’aprolonged downtime sui server all’università.

Durante l’indagine, sono state trovate tracce che mostrano che l’attaccante ha raccolto dati riguardanti la topologia della rete, i nomi utente e le password di più account e altre informazioni sull’architettura di rete. Fox-IT non ha trovato alcuna traccia nell’ambito dell’indagine che indichi la raccolta di altri tipi di dati.

 “È una decisione che non è stata presa alla leggera dal Consiglio Direttivo. Ma è stata anche una decisione da prendere”, afferma UM. “Abbiamo sentito, in consultazione con la nostra direzione e i nostri organi di controllo, che non potevamo fare alcuna altra scelta responsabile quando si considerano gli interessi dei nostri studenti e del personale.”

Il fatto che il 6 gennaio e in seguito siamo stati in grado di svolgere insegnamenti ed esami, più o meno come previsto, che i ricercatori di messaggistica unificata hanno subito danni irreparabili piccoli o assenti, e che siamo stati anche in grado di pagare i salari per 4.500 dipendenti in tempo, rafforza la nostra fiducia nel fatto che abbiamo fatto la scelta giusta. “.

security

 

Recentemente Microsoft ha avvertito che TA505 ha cambiato tattica in una campagna di malware in corso.

Non dimenticare di proteggere e tutelare i tuoi dati, prima che sia troppo tardi! Affidati a Nexsys per la tua sicurezza informatica!

X