Succes in onderzoek cyberaanval Universiteit Maastricht
/Eind december 2019 was de cyberaanval op de Universiteit Maastricht groot nieuws. In de maanden na de ‘hack’ is er door de Universiteit hard gewerkt aan het herstel van het netwerk. Daarnaast hebben het cybercrimeteam van de politie Limburg en het Openbaar Ministerie stevig geïnvesteerd in het opsporingsonderzoek. Dat heeft onder meer geleid tot het volgende succes, namelijk de in beslagname van cryptovaluta ter waarde van plus minus 500.000 euro.
Op maandag 23 december 2019 werd de Universiteit Maastricht slachtoffer van een grote ransomware-aanval. De Windowssystemen werden hiermee platgelegd. Zowel studenten als medewerkers werden daardoor getroffen. Dat was voor de onderwijsinstelling, de politie en het OM in Limburg de start van een intensieve samenwerking. Waar laatstgenoemde partijen aan de slag gingen met een opsporingsonderzoek, nam de Universiteit een cybersecuritybedrijf in de hand om het netwerk en de systemen samen met de eigen medewerkers weer operationeel te krijgen.
Sporenonderzoek
De start van het onderzoek begon met de aangetroffen sporen. Metten Bergmeijer, teamleider van het cybercrimeteam van politie Limburg: “Iedere vorm van criminaliteit laat sporen achter, ook criminaliteit in de digitale wereld. Dankzij een goede samenwerking met de Universiteit en het door hen ingehuurde cybersecuritybedrijf hebben we gebruik kunnen maken van de door hen veilig gestelde sporen. Een dergelijke samenwerking is essentieel om een goed opsporingsonderzoek te kunnen doen”, legt Metten Bergmeijer uit. “Je kunt het vergelijken met een woninginbraak. Wij repareren als politie niet de deur die de inbrekers vernield hebben, maar zijn in ons onderzoek wel geïnteresseerd in de vingerafdrukken of andere sporen die op die deur zijn achtergelaten.” Op enig moment zag de Universiteit zich genoodzaakt 197.000 euro losgeld aan de hackers te betalen. Metten Bergmeijer: “We hebben altijd het standpunt gehad dat er niet betaald moest worden. Maar we respecteren en begrijpen in het licht van alle dilemma’s deze keuze.”
Internationale samenwerking
Het onderzoek van het OM en de politie baseerde zich op digitale, financiële en tactische invalshoeken. Criminaliteit stopt niet bij de grens van een eenheid of land en zeker cybercriminaliteit niet. Dat bleek in deze zaak niet anders. Die sporen brachten het onderzoeksteam al snel over de grens. Daardoor ontstond een nauwe internationale samenwerking met diverse landen. Bij een groot aantal partijen in het buitenland werden gegevens gevorderd. Ook de betaling die de universiteit deed, liet sporen na die het onderzoeksteam weer een stap verder bracht. Via een (digitale) zoektocht die vele landen doorkruiste, is er een persoon in Oekraïne bij het onderzoeksteam in beeld gekomen. Het onderzoeksteam is in 2021 afgereisd naar Oekraïne waar de Oekraïense autoriteiten op verzoek van het onderzoeksteam een doorzoeking in een woning hebben gedaan en met betrokkenen gesproken hebben. Het onderzoek daar heeft de weg vrij gemaakt om uiteindelijk de cryptovaluta in beslag te kunnen nemen.
Wallet bevroren
In februari 2020 werd er door het onderzoeksteam een wallet bevroren waar een deel van het betaalde losgeld naartoe is gegaan. Op dat moment was de waarde van de cryptovaluta die daarin stonden ongeveer 40.000 euro. Het bevriezen van de wallet garandeert dat er met het geld niets meer kan gebeuren omdat de eigenaar van de wallet er geen toegang meer toe heeft. Om vervolgens daadwerkelijk beschikking over de wallet te krijgen, moet een juridische traject tot formele inbeslagname leiden. Daartoe moesten onder meer vorderingen en rechtshulpverzoeken bij internationale partners gedaan worden. Een weg van de lange adem, die er uiteindelijk toe geleid heeft dat in april 2022 de cryptovaluta formeel door het OM in beslag werd genomen. Door de koerswijzigingen van de cryptovaluta is de waarde gestegen tot ongeveer 500.000 euro. Méér dan de Universiteit destijds betaalde.
Schadeloos stellen UM
Georges van den Eshof (officier van justitie cybercrime): “Er moeten nog juridische stappen gezet worden, maar het OM gaat er alles aan doen om dit gehele bedrag bij de Universiteit te krijgen. Zij hebben destijds ongeveer 200.000 euro aan losgeld betaald, maar de door hen geleden schade was natuurlijk veel groter. Denk aan de aanschaf van nieuwe systemen en de werkzaamheden om het netwerk weer operationeel te krijgen. De hoofddoelstelling van de inbeslagname is de Universiteit zoveel mogelijk schadeloos te stellen. Dat was ook een van de doelen in het ons opsporingsonderzoek.” Naast dit mooie resultaat, leerden de politie en het OM ook lessen van dit onderzoek. Metten Bergmeijer: “Dit is destijds door het cybercrimeteam Limburg opgepakt. De afgelopen jaren hebben we van dit en andere onderzoeken geleerd dat incident gedreven werken minder effectief is dan werken vanuit het grotere geheel. Dat is de reden voor de oprichting van de Ransomware Taskforce.” Lees daarover hier meer.
Aangifte doen loont
Metten Bergmeijer: “In het domein van cybercrime, en zeker waar het gaat om ransomware, is gebleken dat het aanhouden van verdachten weinig kansrijk is. Die bevinden zich immers vaak in landen waar Nederland geen internationale samenwerking mee heeft. We moeten dus uit een ander vaatje tappen. Aangiftes geven ons een cruciaal deel van de informatie die we daarvoor nodig hebben. Het helpt ons de criminaliteit beter te begrijpen en zo de plaatsen te vinden waar we criminelen het hardst kunnen raken. Criminelen moeten bijvoorbeeld met elkaar communiceren, hun geld witwassen of toegang krijgen tot systemen. We moeten onze pijlen richten op het verstoren, frustreren en voorkomen van het criminaliteitsproces. Deze aanpak passen we op dit moment toe in de Ransomware Taskforce waarin specialisten van de regionale cybercrimeteams en het Team High Tech Crime van de Landelijke Eenheid samenwerken aan de verstoring, opsporing en preventie van ransomware volgens dit principe. We onderzoeken als politie of deze methodiek ook toepasbaar is voor de aanpak van andere vormen van cybercriminaliteit. Dit doen we als politie niet alleen. We sluiten hiervoor slimme allianties met onder andere bedrijven en onderwijsinstellingen in binnen en buitenland.”
Bron: OM