خسارت 220 هزار دلاری دانشگاه ماستریخت هلند، در پی حمله باج افزاری

دانشگاه ماستریخت هلند اعلام کرد به مهاجمانی که در حمله 23 دسامبر سال 2019، داده ­ها و اطلاعات بعضی از سیستم‌های حیاتی این دانشگاه را رمزنگاری کرده بودند، 30 بیت‌کوین به عنوان باج پرداخت کرده است.

دانشگاه ماستریخت حدود 4500 کارمند، 18 هزار دانشجو و 70 هزار فارغ اتحصیل داشته و در دو سال گذشته جزو پانصد دانشگاه برتر جهان شناخته می ­شود. این دانشگاه در گزارشی درباره این حادثه گفته است: «این حمله، بخشی از زیرساخت‌های فنی ما را مورد هدف قرار داد. این زیرساخت­ ها، متشکل از 1647 سرور لینوکسی و ویندوزی و همچنین 7307 ایستگاه کاری بود».

حمله باج افزاری به دانشگاه ماستریخت در نهایت بر روی 267 سرور ویندوزی انجام شد. مهاجم، فایل‌های داده‌ای در دامنه ویندوز را رمزنگاری کرده و نسخه پشتیبان چند سیستم هم تحت تأثیر این حمله قرار گرفت.

دانشگاه ماستریخت همچنین اعلام کرد که اکنون تمام سیستم‌های مهم، نسخه آنلاین و آفلاین دارند تا بتوانیم در حملات باج‌افزاری احتمالی آینده از آن ها استفاده کنیم.

 

Fox-IT این حمله را به گروه TA505 نسبت می‌دهد!

شرکت امنیتی Fox-IT در گزارش کامل خود، ضمن بررسی حمله باج افزاری به دانشگاه ماستریخت نوشته است: «روش کار گروهی که این حمله خاص را اجرا کردند، شباهت زیادی با رویکرد یکی از گروه‌های خرابکار سایبری دارد که تاریخچه عملیاتی آن ها طولانی بوده و به سال 2014 برمی‌گردد».

TA505 (که با نام SectorJ04) هم شناخته می‌شود یک گروه هکری با انگیزه‌های اقتصادی است که بیشتر فروشگاه‌ها و مؤسسه­ های مالی را هدف حملات مخرب خود قرار داده است.

این گروه به استفاده از تروجان‌های دسترسی از راه دور و ابزارهای دانلود بدافزار که در کمپین‌هایش از تروجان‌های بانکی Trick و Dridex به عنوان پی لودهای ثانویه استفاده می‌کند و همچنین انجام چندین حمله باج‌افزاری از جمله Locky، BitPaymer، Philadelphia، GlobeImposter و Jaff معروف شده است. حالا پس از حمله به دانشگاه ماستریخت، باج‌افزار Clop هم به تاریخچه فعالیت‌های آن اضافه شده است.

به گفته Fox-IT، هکرها توانستند از طریق دو ایمیل فیشینگی که پانزدهم و شانزدهم اکتبر روی دو سیستم این دانشگاه باز شده بود، به سیستم‌های ماستریخت نفوذ کنند. آن ها تا تاریخ 21 نوامبر توانستند سطح دسترسی ادمین را بر روی یکی از سیستم­ ها که وصله نشده بود، به دست آورده و سپس شروع به نفوذ در سرورهای شبکه دانشگاه کردند تا وقتی که در نهایت توانستند باج‌افزار Clop را روی 267 رایانه اجرا کنند.

دانشگاه ماستریخت پس از تحلیل دقیق تمام گزینه‌های موجود، از جمله بازیابی سیستم‌های آلوده و تلاش برای تولید کد رمزگشا که البته ناموفق هم بود، در نهایت در سی­ ام دسامبر تصمیم به پرداخت مبلغ درخواستی مهاجمان گرفت.

در خلاصه گزارش این شرکت آمده است: «در تحقیق­ های ما ردپاهایی پیدا شد که نشان می‌دهد مهاجم، اطلاعاتی درباره ساختار شبکه، معماری شبکه، نام کاربری و کلمه عبور چندین حساب کاربری جمع ­آوری کرده است». همچنین Fox-IT اعلام کرده که در تحقیق­ های خود، هیچ نشانه‌ای پیدا نکرده که حاکی از جمع ­آوری سایر داده‌ها باشد.

 

پرداخت باج برای مقابله با از دست دادن داده‌ها و جلوگیری از ادامه چندین ماه از کار افتادگی

بر اساس گفته ­های رسمی که در کنفرانس مطبوعاتی پنجم فوریه بیان شد، پس از این حمله، دانشگاه ماستریخت از شرکت امنیتی Fox-IT برای انجام تحقیقات جرم ­یابی، فرایند مدیریت بحران و مشاوره در خصوص بازیابی سیستم‌هایش کمک گرفته است.

اگرچه دانشگاه ماستریخت اعلام کرد که در تحقیقات جرم­یابی مشخص شده که مجرمان سایبری، برخی از داده‌های این دانشگاه را تحت کنترل خود درآورده‌اند اما ظاهراً داده‌های تحقیقاتی، عملیات کاری و دانشگاهی آن از شبکه خارج نشده است.

براساس گزارش رویترز، این دانشگاه اعلام کرده که با پرداخت 30 بیت‌کوین (حدود 220 هزار دلار) موفق به دریافت کد رمزگشای باج‌افزار از مهاجم­ ها شده تا بتواند فایل‌های رمزنگاری شده را بازیابی کند.

به این ترتیب، دانشگاه ماستریخت توانست از نیاز به بازیابی تمامی سیستم‌های هک شده و از دست رفتن داده‌های تحقیقاتی، آموزشی و اطلاعات کارمندان و نیز تأخیر در برگزاری امتحانات و پرداخت حقوق 4500 کارمند پیشگیری کند. این دانشگاه اعلام کرد: «رسیدن به این تصمیم برای هیأت مدیره آسان نبود ولی ما مجبور به گرفتن چنین تصمیمی بودیم. ما از طریق مشاوره با تیم مدیریت و نهادهای نظارتی به این نتیجه رسیدیم که با در نظر گرفتن منافع دانشجویان و کارمندان خودمان نمی‌توانیم گزینه دیگری را انتخاب کنیم».

«این واقعیت‌ها که از ششم ژانویه به بعد توانستیم کم و بیش طبق برنامه از قبل تعیین شده کلاس‌ها و امتحانات را برگزار کنیم، به محققان دانشگاه خسارت شدید یا جبران ناپذیری وارد نشد و توانستیم حقوق 4500 کارمند خودمان را پرداخت کنیم باعث شد که از درستی تصمیم خودمان مطمئن شویم».