De hack uitgelegd #1: Universiteit Maastricht
Hoek en Blok.IT
In ‘de hack uitgelegd’ nemen wij je mee in recente, impactvolle hacks. Onze beveiligingsspecialisten hebben zich ingelezen in het dossier en geven hun analyse. Hoe heeft de hack plaats kunnen vinden? Wat was de impact ervan op het bedrijf? Hoe had dit voorkomen kunnen worden? De beantwoording op deze vragen geeft jou als klant van Hoek en Blok IT meer inzage in het onderwerp en kan helpen je te wapenen tegen cybercriminaliteit.
In deze editie gaan we in op de grote cyberaanval op de Universiteit Maastricht (UM) van 24 december 2019. De universiteit maakte eind december bekend dat ze slachtoffer waren geworden van een stevige cyberaanval.
Wat is er gebeurd?
De Universiteit Maastricht is eind 2019 slachtoffer geworden van een zeer grote cyberaanval. Hackers waren erin geslaagd om toegang te krijgen tot het computernetwerk en hebben belangrijke systemen en gegevens versleuteld. Tegen betaling zouden de hackers de systemen en gegevens weer vrijgeven, deze aanval is bekend onder de naam ‘Ransomware’ aanval. Door de versleuteling ondervonden 19.000 studenten en 4.500 medewerkers wekenlang grote problemen op digitaal vlak, de primaire en secundaire processen waren zeer zwaar getroffen.
Door de versleuteling van de servers van de universiteit waren o.a. mailboxen, onderzoeken, computers en een aantal websites niet meer te bereiken. De back-up servers waren ook geraakt bij de versleuteling, waardoor het herstel heel complex was geworden. Als gevolg van de hack kon de universiteit vrijwel niets anders doen dan de hackers te betalen, zodat er weer toegang verkregen kon worden tot de versleutelde bestanden. De universiteit heeft hier €197.000 voor betaald. Als er niet betaald was, dan had het wel maanden kunnen duren voordat alle studenten en medewerkers weer aan de slag konden gaan en waren bestanden waarschijnlijk verloren gegaan.
Wat is ransomware?
Het Nationaal Cyber Security Centrum (NCSC) zegt hierover:
“Ransomware is malware die de databestanden van gebruikers versleutelt, met als doel om deze later te ontsleutelen in ruil voor losgeld. In extreme gevallen blokkeert de ransomware de toegang tot het IT-systeem door ook systeembestanden te versleutelen die essentieel zijn voor de goede werking van het systeem. Gezien het destructieve karakter van ransomware-aanvallen is het vaak moeilijk om de logbestanden te herstellen en te achterhalen wat er daadwerkelijk is gebeurd. Hackers kunnen intellectueel eigendom of persoonsgegegevens hebben gestolen, waarbij zij ransomware inzetten om hun echte bedoelingen te verbergen“.
Oorzaak van de hack
15 oktober 2019
Het begon allemaal op 15 oktober 2019. Uit forensisch onderzoek is gebleken dat heel de cyberaanval begon met twee phishing-mails. De phishing-mails waren volgens de universiteit nauwelijks van echt te onderscheiden. Medewerkers van de universiteit klikte op de mails, waardoor de cyberaanvallers toegang kregen tot één laptop. Vanuit die laptop baanden de hackers zich een weg door de systemen van de universiteit. Het computernetwerk werd gedurende een periode van bijna twee weken stap voor stap verkend, de belangrijkste databestanden en back-ups werden voorbereid op versleuteling.
23 december 2019
Op 23 december 2019 rolden de hackers ransomware uit, waardoor er in totaal 267 servers werden versleuteld. Het was de hackers namelijk gelukt om volledige administratie-rechten te krijgen over de servers. Dat dit mogelijk was, kwam doordat twee servers een zeer belangrijke beveiligingsupdate van 2017 misten. Verder waren diverse basismaatregelen niet op orde, zoals het juist afhandelen van de phishing-melding, segmentatie van het netwerk, toepassing van monitoring en detectie van hacks en het offline opslaan van back-ups.
Gevolgen van de hack
Door de versleuteling van de 267 servers van de universiteit waren o.a. mailboxen, onderzoeken, computers en een web-applicaties niet meer te bereiken. De back-up servers waren ook geraakt bij de versleuteling, waardoor het herstel heel complex was geworden.
Door de versleuteling van eerder genoemde zaken ondervonden 19.000 studenten en 4.500 medewerkers wekenlang grote problemen op digitaal vlak.
Als gevolg van de hack kon de universiteit vrijwel niets anders doen dan de hackers te betalen, zodat er weer toegang verkregen kon worden tot de versleutelde bestanden. De universiteit heeft hier €197.000 voor betaald. Als er niet betaald was, dan had het wel maanden kunnen duren voordat alle studenten en medewerkers weer aan de slag konden gaan en waren diverse bestanden mogelijk verloren gegaan.
Had dit voorkomen kunnen worden? Dat leest u hieronder.
Jouw bedrijf goed beveiligen?
Hallo, ik ben
jouw IT Security Manager
Ik regel je IT security,
het hele jaar door én betaalbaar
Had dit voorkomen kunnen worden?
Informatiebeveiliging kent drie factoren: mensen, processen en techniek. Cyberaanvallen kunnen plaatsvinden door een gebrek aan maatregelen in één of meerdere van deze gebieden. De cyberaanval op de universiteit had wellicht voorkomen kunnen worden of de gevolgen hadden kunnen worden beperkt. Enkele van de belangrijke maatregelen die niet optimaal gewerkt hebben:
- Betere bewustwording van het personeel
Doordat (een deel van) het personeel van de universiteit niet voldoende op de hoogte was van het gevaar van phishing-mails, werd er op een kwaadaardige mail geklikt. Door deze actie konden de hackers het netwerk van de universiteit binnendringen. Betere bewustwording van het personeel had het openen van de phishing-mail kunnen voorkomen.
Naast het feit dat er op de phishing-mail is geklikt, is uit onderzoek gebleken dat het opvolgen van dit incident onvoldoende is geweest. Door onvoldoende opvolging van het cyberincident konden de hackers verder gaan met hun kwaadwillende werkzaamheden. Goede registratie en opvolging van dit incident had de omvang van de cyberaanval in kunnen dammen.
- Technische maatregelen
Technische maatregelen hadden de omvang van de cyberaanval kunnen beperken of zelfs kunnen voorkomen. Enkele essentiële maatregelen:
-
- Tijdig doorvoeren van software-updates
IT-landschappen zien we steeds complexer worden. De kans op fouten in de software is daarom ook toegenomen. Leveranciers ontdekken deze fouten en brengen vervolgens software-updates uit om de fouten te herstellen. Zo krijgt de universiteit jaarlijks ongeveer 100.000 updates binnen om de ruim 1600 servers en ruim 7300 werkstations up-to-date te houden. Uit onderzoek is gebleken dat niet alle updates waren uitgevoerd en dat de hackers daarom via een ‘achterdeurtje’ konden binnendringen. Het volledig updaten van de software had dus kunnen helpen bij het voorkomen van de cyberaanval.
-
- Periodieke security test
Door periodiek een analyse uit te voeren van de technische beveiliging van het computernetwerk en de systemen kunnen ontbrekende maatregelen worden ontdekt en alsnog worden ingericht. Denk bijvoorbeeld aan het afschermen van belangrijke servers, het identificeren van bekende beveiligingslekken in systemen en applicaties en het beperken van inlogmogelijkheden voor beheerders. Ook is het belangrijk om maatregelen te treffen tegen de ongewenste uitvoering van software code, bijvoorbeeld door macro’s uit te schakelen en alleen geautoriseerde software te gebruiken.
-
- Inrichten van netwerkmonitoring
Dagelijks worden duizenden inbraakpogingen en malware-aanvallen van buitenaf gestopt. Bij de universiteit werden echter belangrijke signalen niet opgemerkt door het gebrek aan goede monitoring-software. Een zogeheten SIEM (Security Information and Event Management) had belangrijke signalen aan het licht kunnen brengen. Hierdoor had er eerder gereageerd kunnen worden op de cyberaanval waardoor ook de gevolgen ingedamd hadden kunnen worden.
-
- Inregelen van dubbele back-ups
Als de hackers eenmaal de macht hebben over bepaalde servers, moet er altijd nog een plan B zijn om de gegevens terug te krijgen. De universiteit had er tot aan het moment van de cyberaanval voor gekozen om gebruik te maken van online back-ups. Echter hadden de hackers de online back-ups weten te versleutelen. Hierdoor konden de back-ups niet teruggezet worden. Een offline back-up had ervoor kunnen zorgen dat de gegevens alsnog teruggezet hadden kunnen worden. Het hebben van offline back-ups had de gegevens van de universiteit namelijk wel terug kunnen zetten, ook al kost dit veel tijd. Het bezit van offline back-ups had de ‘verplichte’ betaling aan de hackers mogelijk kunnen voorkomen.
Tot slot
Wij adviseren onze klanten om meer aandacht te besteden aan de beveiliging van informatie en IT. We sluiten ons dan ook aan bij de zienswijze van het Nationaal Cyber Security Centrum (NCSC):
“Zolang organisaties niet voldoende aandacht besteden aan cybersecurity, blijft malware zoals ransomware bestaan. Het verdienmodel is gebaseerd op de gedachte dat een organisatie noodgedwongen moet betalen. Door een ransomware-aanval te voorkomen helpt u niet alleen uw eigen organisatie, maar draagt u bij aan het verstoren van deze criminele activiteit.
Tegelijkertijd kunnen niet alle ransomware aanvallen voorkomen worden. Zorg daarom dat u ook voorbereid bent op de mogelijke impact van een ransomware-aanval.”
Dit blog is opgesteld op basis van eigen onderzoek van de auteur. Aan dit blog kunnen geen rechten worden ontleend, daarnaast zijn wij niet aansprakelijk voor onjuistheden die onverhoopt in dit blog kunnen zijn vermeld. Volledigheid in dit blog is niet beoogd, iedere casus vereist een maatwerkoplossing. Voor vragen kunt u contact opnemen via onderstaand formulier.
Bronnen
1 – Onderzoeksrapport Fox-IT Ransomware aanval Universiteit Maastricht
2 – Nationaal Cyber Security Centrum – Ransomware factsheet
Zet uw IT security manager aan het werk
Neem contact op met Hoek en Blok IT en u krijgt uw eigen IT security manager aangewezen. Deze gaat voor u aan de slag en zorgt er samen met u voor dat uw bedrijf goed beveiligd wordt.