خسارت 220 هزار دلاری دانشگاه ماستریخت هلند، در پی حمله باج افزاری

دانشگاه ماستریخت هلند اعلام کرد به مهاجمانی که در حمله 23 دسامبر سال 2019، داده ها و اطلاعات بعضی از سیستمهای حیاتی این دانشگاه را رمزنگاری کرده بودند، 30 بیتکوین به عنوان باج پرداخت کرده است.
دانشگاه ماستریخت حدود 4500 کارمند، 18 هزار دانشجو و 70 هزار فارغ اتحصیل داشته و در دو سال گذشته جزو پانصد دانشگاه برتر جهان شناخته می شود. این دانشگاه در گزارشی درباره این حادثه گفته است: «این حمله، بخشی از زیرساختهای فنی ما را مورد هدف قرار داد. این زیرساخت ها، متشکل از 1647 سرور لینوکسی و ویندوزی و همچنین 7307 ایستگاه کاری بود».
حمله باج افزاری به دانشگاه ماستریخت در نهایت بر روی 267 سرور ویندوزی انجام شد. مهاجم، فایلهای دادهای در دامنه ویندوز را رمزنگاری کرده و نسخه پشتیبان چند سیستم هم تحت تأثیر این حمله قرار گرفت.
دانشگاه ماستریخت همچنین اعلام کرد که اکنون تمام سیستمهای مهم، نسخه آنلاین و آفلاین دارند تا بتوانیم در حملات باجافزاری احتمالی آینده از آن ها استفاده کنیم.
Fox-IT این حمله را به گروه TA505 نسبت میدهد!
شرکت امنیتی Fox-IT در گزارش کامل خود، ضمن بررسی حمله باج افزاری به دانشگاه ماستریخت نوشته است: «روش کار گروهی که این حمله خاص را اجرا کردند، شباهت زیادی با رویکرد یکی از گروههای خرابکار سایبری دارد که تاریخچه عملیاتی آن ها طولانی بوده و به سال 2014 برمیگردد».
TA505 (که با نام SectorJ04) هم شناخته میشود یک گروه هکری با انگیزههای اقتصادی است که بیشتر فروشگاهها و مؤسسه های مالی را هدف حملات مخرب خود قرار داده است.
این گروه به استفاده از تروجانهای دسترسی از راه دور و ابزارهای دانلود بدافزار که در کمپینهایش از تروجانهای بانکی Trick و Dridex به عنوان پی لودهای ثانویه استفاده میکند و همچنین انجام چندین حمله باجافزاری از جمله Locky، BitPaymer، Philadelphia، GlobeImposter و Jaff معروف شده است. حالا پس از حمله به دانشگاه ماستریخت، باجافزار Clop هم به تاریخچه فعالیتهای آن اضافه شده است.
به گفته Fox-IT، هکرها توانستند از طریق دو ایمیل فیشینگی که پانزدهم و شانزدهم اکتبر روی دو سیستم این دانشگاه باز شده بود، به سیستمهای ماستریخت نفوذ کنند. آن ها تا تاریخ 21 نوامبر توانستند سطح دسترسی ادمین را بر روی یکی از سیستم ها که وصله نشده بود، به دست آورده و سپس شروع به نفوذ در سرورهای شبکه دانشگاه کردند تا وقتی که در نهایت توانستند باجافزار Clop را روی 267 رایانه اجرا کنند.
دانشگاه ماستریخت پس از تحلیل دقیق تمام گزینههای موجود، از جمله بازیابی سیستمهای آلوده و تلاش برای تولید کد رمزگشا که البته ناموفق هم بود، در نهایت در سی ام دسامبر تصمیم به پرداخت مبلغ درخواستی مهاجمان گرفت.
در خلاصه گزارش این شرکت آمده است: «در تحقیق های ما ردپاهایی پیدا شد که نشان میدهد مهاجم، اطلاعاتی درباره ساختار شبکه، معماری شبکه، نام کاربری و کلمه عبور چندین حساب کاربری جمع آوری کرده است». همچنین Fox-IT اعلام کرده که در تحقیق های خود، هیچ نشانهای پیدا نکرده که حاکی از جمع آوری سایر دادهها باشد.
پرداخت باج برای مقابله با از دست دادن دادهها و جلوگیری از ادامه چندین ماه از کار افتادگی
بر اساس گفته های رسمی که در کنفرانس مطبوعاتی پنجم فوریه بیان شد، پس از این حمله، دانشگاه ماستریخت از شرکت امنیتی Fox-IT برای انجام تحقیقات جرم یابی، فرایند مدیریت بحران و مشاوره در خصوص بازیابی سیستمهایش کمک گرفته است.
اگرچه دانشگاه ماستریخت اعلام کرد که در تحقیقات جرمیابی مشخص شده که مجرمان سایبری، برخی از دادههای این دانشگاه را تحت کنترل خود درآوردهاند اما ظاهراً دادههای تحقیقاتی، عملیات کاری و دانشگاهی آن از شبکه خارج نشده است.
براساس گزارش رویترز، این دانشگاه اعلام کرده که با پرداخت 30 بیتکوین (حدود 220 هزار دلار) موفق به دریافت کد رمزگشای باجافزار از مهاجم ها شده تا بتواند فایلهای رمزنگاری شده را بازیابی کند.
به این ترتیب، دانشگاه ماستریخت توانست از نیاز به بازیابی تمامی سیستمهای هک شده و از دست رفتن دادههای تحقیقاتی، آموزشی و اطلاعات کارمندان و نیز تأخیر در برگزاری امتحانات و پرداخت حقوق 4500 کارمند پیشگیری کند. این دانشگاه اعلام کرد: «رسیدن به این تصمیم برای هیأت مدیره آسان نبود ولی ما مجبور به گرفتن چنین تصمیمی بودیم. ما از طریق مشاوره با تیم مدیریت و نهادهای نظارتی به این نتیجه رسیدیم که با در نظر گرفتن منافع دانشجویان و کارمندان خودمان نمیتوانیم گزینه دیگری را انتخاب کنیم».
«این واقعیتها که از ششم ژانویه به بعد توانستیم کم و بیش طبق برنامه از قبل تعیین شده کلاسها و امتحانات را برگزار کنیم، به محققان دانشگاه خسارت شدید یا جبران ناپذیری وارد نشد و توانستیم حقوق 4500 کارمند خودمان را پرداخت کنیم باعث شد که از درستی تصمیم خودمان مطمئن شویم».