Ruhr-Universität Bochum: Hack war ein Ransomware-Befall

Der ‘Hack’ der Ruhr-Universität Bochum (RUB) stellte sich am Ende des Tages als ein Befall der IT-Systeme durch Ransomware heraus. Speziell die Windows-Systeme samt Servern (Exchange, Sharepoint) der Verwaltung sind betroffen. Der Lehrbetrieb kann aber weiter gehen.


Anzeige

Letzte Woche hatte ich im Blog-Beitrag Ruhr-Universität Bochum (RUB) gehackt über einen Cyber-Angriff auf die Die Ruhr-Universität Bochum (RUB) berichtet. Ein Blog-Leser, der dort studiert, hatte mich über den Vorfall unterrichtet. Laut meiner Quelle gab es bereits am späten Mittwoch Abend, den 5. Mai 2020, Probleme mit der IT.

Telekommunikations-Geräte
(Quelle: Pexels Josh Sorenson)

In ersten Stellungnahmen sprach die RUB noch von technischen Störungen, um dann einen Hack einzugestehen. Darauf hin wurden alle Windows-Systeme der Universität herunter gefahren.

Neue Information der RUB: Es war Ransomware

Inzwischen hat die Ruhr-Universität Bochum (RUB) eine weitere Stellungnahme zu diesem Vorfall herausgegeben. Dieser Stellungnahme zufolge ist vor allem die Universitätsverwaltung durch ‘einen Computerangriff mit einer Verschlüsselungssoftware’ betroffen. Im Klartext: Die Windows-Systeme, die in der Universitätsverwaltung eingesetzt werden, wurden durch Ransomware lahm gelegt und die Dateien verschlüsselt.

Die IT der Ruhr-Universität Bochum (RUB) hat nun Experten der Bochumer IT-Firma G-Data hinzugezogen, um die Schäden des externen Computerangriffs mittels der Ransomware weiter zu untersuchen und die System wieder flott zu bekommen.

Exchange und Sharepoint betroffen

In der Stellungnahme zudem zu lesen, dass von diesem Ransomware-Angriff nach bisherigen Erkenntnissen vor allem zentrale Server betroffen sind, die in der RUB-Verwaltung benötigt werden. Dazu gehören beispielsweise Microsoft Exchange Server und Microsoft Sharepoint. Aus diesem Grund ist zurzeit unter anderem der Mailverkehr der RUB-Verwaltung gestört.

Von der IT der RUB wurden dann alle möglicherweise betroffenen Server heruntergefahren und werden derzeit genau analysiert. Vom Ergebnis dieser Analyse wird schließlich auch abhängen, ob und wann die Server wieder hochgefahren werden, sprich, wann der normale Arbeitsbetrieb in der RUB-Verwaltung weitergeht. Aufgrund der Einschränkungen durch die Corona-Pandemie spielt sich dieser ohnehin größtenteils im Homeoffice ab.

Analyse und Suche der Täter

Parallel zur Analyse der Server läuft die Suche nach möglichen Tätern. Aus ermittlungstaktischen Gründen kann über die bisherigen Erkenntnisse nicht berichtet werden. In Beratung ist, ob die Beschäftigten auf andere Dienste umgestellt werden können, um wieder arbeitsfähig zu werden.


Anzeige

Systeme zur Lehre nicht betroffen

Laut Stellungnahme steht inzwischen auch fest, dass die für die digitale Lehre im Sommersemester 2020 notwendige Lernplattform Moodle ebenso wenig wie alle weiteren Instrumente wie beispielsweise Sciebo, Zoom oder RUB-Cast betroffen sind. Diese Systeme laufen über nicht von der Attacke betroffene RUB-Server oder auf externen Servern. Die gute Nachricht also lautet: Die digitale Lehre an der RUB kann reibungslos fortgesetzt werden.

Die Universität hat eine FAQ als PDF-Dokument freigegeben, die weitere Antworten enthält. Die Spekulation, dass es eine Infektion mit Emotet war, die die RUB getroffen hat, ist demnach bisher nicht geklärt. Unklar ist auch, ob beim Angriff Login-Daten für Systeme der RUB entwendet wurden. Wer an der RUB studiert oder deren IT-Systeme per Fernzugriff nutzt, sollte in der FAQ Antworten auf offene Fragen finden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Ransomware, Ruhr-Universität Bochum, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Ruhr-Universität Bochum: Hack war ein Ransomware-Befall

  1. johnripper sagt:

    Exchange Server betroffen, heißt meistens auch Active Directory betroffen, heißt DC betroffen, heißt: gehen sie zurück auf Los..und ziehen sie keine 4000 Euro ein.

    • Figo sagt:

      Oder spiele das letzte saubere Backup ein, sofern vorhanden.
      Geht allerdings erst wenn „Patient 0“ identifiziert wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.