De kettingreactie als gevolg van de ransomware-aanval op de Universiteit Maastricht

  1. 9 mrt 2020
  2. 0 reacties

Jim Cox

Jim Cox is area vice president voor de Benelux bij Proofpoint

De ransomware-aanval op Universiteit Maastricht (UM) heeft een kettingreactie onder Nederlandse universiteiten veroorzaakt. Toen de universiteit door de cyberaanval werd getroffen, gingen tal van Windows-systemen offline en was het onmogelijk om e-mailberichten te verzenden. In weerwil van het advies van Ingrid van Engelshoven, de minister van Onderwijs, betaalde de Universiteit dertig bitcoins (meer dan 200.000 euro) aan losgeld om opnieuw toegang te krijgen tot de versleutelde bestanden. De minister was van mening ‘dat er geen geld naar criminelen toe moet vloeien’. De Universiteit Maastricht verdedigde haar besluit door aan te voeren dat ‘de continuïteit van onderwijs en onderzoek’ zwaarder woog dan ‘het maatschappelijke belang om criminelen niet te betalen’. 

In werkelijkheid is het betalen van losgeld geen garantie dat cybercriminelen hun slachtoffers ook daadwerkelijk weer toegang tot de versleutelde data zullen geven. Volgens een recent onderzoek door Proofpoint ontving 69% van alle organisaties die losgeld betaalden decryptiesleutels voor de gegijzelde data. Van de slachtoffers die met aanvallers onderhandelden kreeg 9 procent te maken met nieuwe losgeldeisen. 22 procent van de slachtoffers kreeg nooit meer toegang tot hun gegevens, zelfs niet na het betalen van losgeld.

Verschillende groepen cybercriminelen

De afgelopen tijd werd een groeiend aantal bekende universiteiten en hogescholen op de korrel genomen door cybercriminelen. In sommige gevallen waren de gevolgen voor hun operationele processen funest. De onderzoekers van Proofpoint volgen diverse personen en groepen die betrokken zijn bij zowel cyberaanvallen met een financieel motief als cyberaanvallen in opdracht van regeringen.

De groep die verantwoordelijk was voor de aanval op Universiteit Maastricht was een van de meest actieve groepen die we volgden. Deze groep wordt ‘TA505’ en soms ook ‘GraceRAT’ genoemd. Deze namen zijn ontleend aan een van de aanvalsmethoden die deze groep gebruikt. Deze cybercriminelen handelen uit financiële motieven en zijn minimaal sinds 2014 actief. Ze staan erom bekend dat ze regelmatig malware wijzigen en bijdragen aan wereldwijde trends in de verspreiding van malware.

‘TA407’, ook wel ‘Silent Librarian’ genoemd, vertegenwoordigt een andere prominente bedreiging voor studenten. In tegenstelling tot TA505 is deze Iraanse groep niet louter op geld uit. De aanvallen van Silent Librarian zijn meestal gericht op prominente medische, technische of onderzoeksuniversiteiten. De groep werd door de FBI aangeklaagd vanwege zijn spear phishing-campagnes. De cybercriminelen gaven zich daarbij uit als beheerders van universiteitsbibliotheken in een poging om de aanmeldingsgegevens van studenten buit te maken. Ze gebruikten deze aanmeldingsgegevens voor het stelen en doorverkopen van onder meer intellectueel eigendom en abonnementen op wetenschappelijke tijdschriften. Volgens de aanklacht hadden de aanvallen ten doel om toegang te krijgen tot niet-Iraanse wetenschappelijke bronnen.

Een aantrekkelijk doelwit voor cybercriminelen

De onderwijssector blijkt om verschillende redenen een aantrekkelijk doelwit te zijn. Ten eerste zijn studenten bijzonder vatbaar voor ransomware-aanvallen vanwege hun riskante internetgedrag. Ze zijn namelijk eerder geneigd om op kwaadaardige links of bijlagen te klikken dan andere gebruikers. Ten tweede kan ransomware zich razendsnel onder instellingen verspreiden vanwege het sterk onderling verbonden karakter van universiteiten. Ten slotte loopt de IT-infrastructuur van universiteiten als gevolg van budgetbeperkingen meestal achter op die van organisaties in andere sectoren, zoals de financiële dienstverlening en retail.

Naar aanleiding van een door Fox-IT uitgevoerd forensisch onderzoek, zijn onderzoekers druk bezig geweest met het doorzoeken van interne netwerken en systemen van universiteiten op tekenen van aanvallen die simpelweg via e-mail binnenkomen. Onafhankelijke zoekresultaten wijzen erop dat het leeuwendeel van de cyberaanvallen zijn oorsprong heeft in een e-mail. Na de aanval op Universiteit Maastricht is de hamvraag voor de Nederlandse onderwijssector ‘Lopen we ook gevaar, en zijn we gehackt’? De Colleges van Bestuur van instellingen in het hoger onderwijs hebben hun beveiligingsafdelingen opdracht gegeven om met een antwoord op die vraag te komen.

Hoe onderwijsinstellingen zich effectief kunnen verdedigen

Er is een grote Nederlandse universiteit die deze vraag volmondig met ‘nee’ kan beantwoorden. TA505 verzond dezelfde phishing-mail naar duizenden studenten, faculteitsmedewerkers en stafleden van deze universiteit. Gelukkig werden al deze mails geblokkeerd, zodat ze de eindgebruikers niet konden bereiken. Daardoor klikte niemand op kwaadaardige links of bijlagen.

Vorig jaar werd de oude oplossing voor e-mailbeveiliging van deze universiteit vervangen door Proofpoint. Het was voor deze instelling van cruciaal belang om robuuste, meervoudig gelaagde beschermingsmechanismen te implementeren om bescherming te bieden tegen de belangrijkste aanvalsvector. 94% van alle beveiligingsincidenten begint namelijk met een e-mail. Phishing was daarom een belangrijk punt van zorg voor het informatiebeveiligingsteam van de universiteit.

De cyberaanval op Universiteit Maastricht deed alle alarmbellen rinkelen bij instellingen voor hoger onderwijs. Security is daar nu ‘top of mind’. Maar het is ook een hele evenwichtskunst voor universiteiten. Aan de ene kant willen ze studenten een open en transparante omgeving bieden, en aan de andere kant moeten ze hen beschermen tegen het voortdurend veranderende bedreigingslandschap.

Pas wanneer je door een succesvolle cyberaanval wordt getroffen, realiseer je je pas dat je kwetsbaar bent. Of, erger nog, dat je niet weet hoe kwetsbaar je organisatie precies is voor cyberaanvallen. De huidige alarmfase zal zich vertalen in verbeterde bewustwording van cyberrisico’s onder de Colleges van Bestuur van universiteiten. CISO’s en informatiebeveiligingsteams zullen worden gevraagd om meer garanties af te geven. Dit zal vragen om een nieuw evenwicht tussen transparantie en beveiliging.