Der 'Hack' der Ruhr-Universität Bochum (RUB) stellte sich am Ende des Tages als ein Befall der IT-Systeme durch Ransomware heraus. Speziell die Windows-Systeme samt Servern (Exchange, Sharepoint) der Verwaltung sind betroffen. Der Lehrbetrieb kann aber weiter gehen.
Anzeige
Letzte Woche hatte ich im Blog-Beitrag Ruhr-Universität Bochum (RUB) gehackt über einen Cyber-Angriff auf die Die Ruhr-Universität Bochum (RUB) berichtet. Ein Blog-Leser, der dort studiert, hatte mich über den Vorfall unterrichtet. Laut meiner Quelle gab es bereits am späten Mittwoch Abend, den 5. Mai 2020, Probleme mit der IT.
(Quelle: Pexels Josh Sorenson)
In ersten Stellungnahmen sprach die RUB noch von technischen Störungen, um dann einen Hack einzugestehen. Darauf hin wurden alle Windows-Systeme der Universität herunter gefahren.
Neue Information der RUB: Es war Ransomware
Inzwischen hat die Ruhr-Universität Bochum (RUB) eine weitere Stellungnahme zu diesem Vorfall herausgegeben. Dieser Stellungnahme zufolge ist vor allem die Universitätsverwaltung durch 'einen Computerangriff mit einer Verschlüsselungssoftware' betroffen. Im Klartext: Die Windows-Systeme, die in der Universitätsverwaltung eingesetzt werden, wurden durch Ransomware lahm gelegt und die Dateien verschlüsselt.
Anzeige
Die IT der Ruhr-Universität Bochum (RUB) hat nun Experten der Bochumer IT-Firma G-Data hinzugezogen, um die Schäden des externen Computerangriffs mittels der Ransomware weiter zu untersuchen und die System wieder flott zu bekommen.
Exchange und Sharepoint betroffen
In der Stellungnahme zudem zu lesen, dass von diesem Ransomware-Angriff nach bisherigen Erkenntnissen vor allem zentrale Server betroffen sind, die in der RUB-Verwaltung benötigt werden. Dazu gehören beispielsweise Microsoft Exchange Server und Microsoft Sharepoint. Aus diesem Grund ist zurzeit unter anderem der Mailverkehr der RUB-Verwaltung gestört.
Von der IT der RUB wurden dann alle möglicherweise betroffenen Server heruntergefahren und werden derzeit genau analysiert. Vom Ergebnis dieser Analyse wird schließlich auch abhängen, ob und wann die Server wieder hochgefahren werden, sprich, wann der normale Arbeitsbetrieb in der RUB-Verwaltung weitergeht. Aufgrund der Einschränkungen durch die Corona-Pandemie spielt sich dieser ohnehin größtenteils im Homeoffice ab.
Analyse und Suche der Täter
Parallel zur Analyse der Server läuft die Suche nach möglichen Tätern. Aus ermittlungstaktischen Gründen kann über die bisherigen Erkenntnisse nicht berichtet werden. In Beratung ist, ob die Beschäftigten auf andere Dienste umgestellt werden können, um wieder arbeitsfähig zu werden.
Systeme zur Lehre nicht betroffen
Laut Stellungnahme steht inzwischen auch fest, dass die für die digitale Lehre im Sommersemester 2020 notwendige Lernplattform Moodle ebenso wenig wie alle weiteren Instrumente wie beispielsweise Sciebo, Zoom oder RUB-Cast betroffen sind. Diese Systeme laufen über nicht von der Attacke betroffene RUB-Server oder auf externen Servern. Die gute Nachricht also lautet: Die digitale Lehre an der RUB kann reibungslos fortgesetzt werden.
Die Universität hat eine FAQ als PDF-Dokument freigegeben, die weitere Antworten enthält. Die Spekulation, dass es eine Infektion mit Emotet war, die die RUB getroffen hat, ist demnach bisher nicht geklärt. Unklar ist auch, ob beim Angriff Login-Daten für Systeme der RUB entwendet wurden. Wer an der RUB studiert oder deren IT-Systeme per Fernzugriff nutzt, sollte in der FAQ Antworten auf offene Fragen finden.
Anzeige
Exchange Server betroffen, heißt meistens auch Active Directory betroffen, heißt DC betroffen, heißt: gehen sie zurück auf Los..und ziehen sie keine 4000 Euro ein.
Oder spiele das letzte saubere Backup ein, sofern vorhanden.
Geht allerdings erst wenn "Patient 0" identifiziert wurde.