Universidade de Maastricht, nos Países Baixos, descobriu no dia 23 contaminação por ransomware e até ontem não havia se recuperado totalmente
A Universidade de Maastricht, uma das principais dos Países Baixos, ainda não se recuperou totalmente do ataque cibernético descoberto dia 23 de Dezembro: praticamente todos os sistemas Windows foram atingidos. Um dos especialistas envolvidos no trabalho de recuperação disse que a organização russa TA505 é responsável pelo ataque. As principais preocupações dos administradores da universidade eram saber se os pesquisadores poderiam ou não cumprir os prazos para solicitações de subsídios e verbas do governo. Em um comunicado no seu site, a universidade disse que tentaria ajudar os pesquisadores para obter prorrogações do prazo, mas que as férias de inverno podem prejudicar esses esforços. Sabe-se que os pedidos para os programas de estudo, incluindo aqueles enviados antes do ataque, estão em segurança.
Na última segunda-feira, a universidade expandiu seu helpdesk para ajudar a responder perguntas de estudantes sobre o ataque. A universidade disse que ainda planeja retomar as aulas amanhã, com seus prédios reabertos quatro dias antes.
Vitali Kremez, especialista norte-americano de cibersegurança, explica que o grupo TA505, responsável pelo ataque, distribui o Clop, um programa de ransomware descoberto pela primeira vez em fevereiro de 2019.
A empresa de segurança Fox-IT estava trabalhando com a universidade na investigação forense e recuperação de sistemas atingidos no ataque de ransomware. Nesses ataques, hackers criptografam arquivos com uma senha que apenas eles conhecem. Depois que um resgate é pago, a senha deve ser revelada para descriptografar os arquivos afetados.
“É da maior importância neste momento que estudantes e funcionários não realizem nenhuma ação nos computadores ou sistemas da UM (Universidade de Maastricht). Isso se aplica tanto dentro como fora da universidade”, informou a universidade em comunicado na última segunda-feira. “Isso evita qualquer risco em trabalhos de pesquisa, reparos e salvamento de dados”.
Sobre o TA505, a Trend Micro informou que “é um grupo cibercriminoso ativo, conhecido por seus ataques contra várias instituições financeiras e empresas de varejo, que usa campanhas maliciosas de spam e diferentes tipos de malware”. O especialista Kremez também observou o foco do grupo em instituições públicas, nas quais a recuperação de dados é urgentemente necessária, e onde “a chance de pagarem resgate é, portanto, maior”.
“Quase todos os sistemas Windows foram afetados e é particularmente difícil usar serviços de email”, afirmou a universidade na véspera de Natal. “Medidas extras de segurança foram tomadas para proteger dados (científicos). A UM está investigando se os ciber atacantes tiveram acesso a esses dados.”
Com agências internacionais