Ransomware : l’université de Maastricht récupère près de 3 fois ce qu’elle avait payé

Durant l’été 2022, on apprenait qu’une partie de la rançon payée par l’université de Maastricht fin 2019, à la suite d’une cyberattaque impliquant le ransomware Cl0p, avait pu être recouvrée.

C’est la partie de la rançon qui avait été confiée à un Ukrainien impliqué dans des opérations de blanchiment qui avait été récupérée. La personne en question a été interrogée par les forces de l’ordre en Ukraine courant 2021.

La totalité de la somme versée en bitcoins n’avait donc pas été saisie. Mais celle qui l’avait été a suffisamment gagné en valeur pour plus que compenser le manque à gagner induit par une saisie seulement partielle.

L’université de Maastricht a finalement reçu, sur son compte en banque, la somme correspondante en euros, fin 2024. Nos confrères d’Observant rapportent un virement de près de 562 000 euros, soit environ 2,8 fois la rançon versée fin 2019. 

Pour mémoire, l’université de Maastricht a été frappée par un rançongiciel tout juste avant Noël 2019. Le mercredi 5 février suivant, elle organisait une conférence retransmise sur Internet pour partager son expérience et souligner les leçons qui en avaient été retirées. L’exercice était d’autant plus remarquable que la direction de l’université avait choisi de régler la rançon demandée : 30 bitcoins.

Les assaillants avaient chiffré 267 serveurs. Afin d’éviter de pénaliser notamment les étudiants et les travaux de recherche, la décision – présentée comme réellement lourde et difficile – avait été prise de payer la rançon demandée. Après avoir vérifié que les assaillants disposaient d’un outil de déchiffrement fonctionnel, le montant demandé avait été réglé le 30 décembre 2019.

La transparence adoptée par l’université de Maastricht a donc payé : fortes des informations relatives au paiement de la rançon, les autorités néerlandaises ont pu suivre les mouvements financiers ayant suivi. Et remonter, en collaboration avec les forces de l’ordre ukrainiennes, jusqu’à l’un des acteurs impliqués.

Ce suivi est un élément crucial dans les enquêtes sur les cyberattaques avec rançongiciels. Les cybercriminels tentent bien de brouiller les pistes, mais avec un succès relativement limité à ce jour. Ils essaient notamment de passer à d’autres cryptoactifs que le Bitcoin, mais sans trop de réussite.

Le cas de l’université de Maastricht n’est d’ailleurs pas isolé. Durant l’été 2021, le ministère américain de la Justice a réussi à récupérer une partie de la rançon versée par Colonial Pipeline après avoir été attaquée avec le ransomware DarkSide. Les éléments rendus publics sur cette opération suggèrent qu’il s’agissait de la part dévolue à l’affidé ayant effectivement conduit l’attaque.

Pour autant, tout n’est pas rose dans le cas de l’université de Maastricht. Son porte-parole, Koen Augustijn, indique ainsi à nos confrères que l’attaque a coûté « significativement plus que le montant recouvré ». Ce dernier va être placé dans un fonds d’aide aux étudiants et chercheurs qui en auront besoin. 

Au moins 120 000 euros seront versés au programme Safe Haven Fellowship de l’institut d’études avancées des Pays-Bas, rattaché notamment à l’académie royale néerlandaise des arts et des sciences. Depuis 2023, celui-ci est conçu pour accueillir scientifiques, artistes, auteurs et journalistes dans l’incapacité de faire leur travail « en raison des conséquences de conflit ou de guerre ».