Studenten in open studiezaal bezig met hun werk
Praktijkverhaal

Wat Universiteit Maastricht leerde van de ransomwareaanval (deel 1)

Op 23 december 2019 werd Universiteit Maastricht (UM) getroffen door een zware ransomwareaanval. GÉANT sprak hierover met Bart van den Heuvel, chief information security officer (CISO) aan de UM. Dit eerste interview gaat over de fase voorafgaand aan de aanval en de geleerde lessen.

Razendsnel

De ransomwareaanval op 23 december voltrok zich razendsnel. In amper 30 minuten tijd slaagden de hackers erin om de data van 267 servers van de universiteit te vergrendelen, waaronder ook heel wat kritieke systemen. Zo werden de e-mailservers en tal van fileservers - met onderzoeksdata maar ook business operations data - getroffen. Ook slaagden de hackers erin om een aantal back-upservers te versleutelen.

“Een cyberaanval gaat je sowieso overkomen. Het is een kwestie van je zo goed mogelijk voorbereiden en de impact beperken."
Bart van den Heuvel, CISO aan de Universiteit Maastricht

Malware via een phishingmail

Op 15 oktober stuurden de aanvallers een phishingmail naar verschillende personen binnen de UM. Een van de medewerkers klikte op de link in de mail. Die leidde de gebruiker naar een Excel-document waarin zich een macro bevond. Die macro heeft vervolgens malware van een externe server opgehaald en geïnstalleerd op het werkstation van de gebruiker.

Bart van den Heuvel: “De malware zelf werd herkend door onze virusscanners maar doordat de aanvallers kleine wijzigingen hadden aangebracht, is deze alsnog door onze virusscanners gekomen. Een tweede phishingmail met een link naar een soortgelijk document werd een dag later aangeklikt door een andere gebruiker. Vanaf dat moment hadden de aanvallers een eerste toegang tot het UM-netwerk.”

Voortdurend alert blijven

De belangrijke les hieruit was dat écht iedereen zich door een phishingmail kan laten misleiden. “De gebruiker in kwestie heeft de mail zelfs gerapporteerd aan de service desk van de universiteit. Het bleek te gaan om iemand die heel ‘internetsavvy' was, maar in deze omstandigheden toch op een frauduleuze link heeft geklikt. Ik ben ervan overtuigd dat het onmogelijk is om voor 100% te voorkomen dat iemand op een schadelijke link klikt, maar awareness blijft wel cruciaal”, aldus Bart van den Heuvel.

Graantje meepikken

Ook na de ransomwareaanval bleef de UM niet gespaard van phishing. “Zo circuleerde er bij de UM een phishingmail waarbij er expliciet werd verwezen naar de ransomwareaanval in onze instelling en waarin gebruikers werd gevraagd om, naar aanleiding van het incident in UM, uit voorzorg hun wachtwoord aan te passen. Varianten daarop, ook met verwijzing naar de UM, circuleerden ook bij andere instellingen. Ook andere cybercriminelen probeerden dus hun graantje mee te pikken. Dit maakte dat we voortdurend zeer alert moesten blijven en heel gericht moesten communiceren naar onze gebruikers”.

Awarenesscampagne

Voor de zomer lanceerde de UM een awarenesscampagne met do’s en don’ts. Die is breder dan phishing alleen en focust ook op basis-cyberhygiëne, zoals het vergrendelen van je scherm zodra je je laptop even niet gebruikt. Deze is bij de start van het nieuwe academische jaar in september herhaald voor studenten. “Om de boodschap op een aantrekkelijke en ludieke manier te brengen, hebben we een cartoonist ingeschakeld. In het najaar van 2020 najaar geven we nog awarenesstrainingen die specifiek zijn afgestemd op zowel onze IT-medewerkers als op het management. Ook zijn er, in nauwe samenwerking met onze juristen en de afdeling communicatie, plannen om zelf phishingmails sturen om op deze manier onze gebruikers te trainen”, licht hij toe.

5 keer meer meldingen over phishing

De ransomwareaanval zelft heeft wat awareness betreft zijn vruchten al afgeworpen. Zo kreeg de service desk van de UM dit jaar al 5 keer meer meldingen van gebruikers over phishing ten opzichte van vorig jaar, hoewel er geen aanwijzingen zijn dat het aantal phishingmails zo sterk is gestegen.

De geleerde lessen

In de periode tussen 15 oktober en de ransomwareaanval op 23 december baanden de hackers zich geleidelijk een weg in het netwerk van de UM. Bart van den Heuvel: “Hun doel was om ons netwerk zo goed mogelijk in kaart te brengen en intussen onder de radar te blijven. Door misbruik te maken van onveilige achterdeurtjes konden de hackers steeds verder in ons netwerk geraken. Zo slaagden ze er bijvoorbeeld in om een versleuteld wachtwoord van een administrator, dat zich in het geheugen van een bepaalde server bevond, te gebruiken om toegang te krijgen tot een volgende server.”

Netwerksegmentatie

De UM trok belangrijke lessen uit de analyse van deze ‘laterale fase’ en implementeerde al verschillende maatregelen om in de toekomst sneller te kunnen ingrijpen. “Onze doelstelling is duidelijk: als aanvallers toch binnenkomen, moeten we ervoor zorgen dat ze niet verder in het netwerk kunnen doordringen. Dat doen we door ons netwerk nog beter te segmenteren, waarbij iedere server achter een eigen firewall zit. Verder zullen we onze admin-accounts ook beter scheiden, zodat een beheerder niet automatisch toegang heeft tot alles.”

Betere monitoring

Ook zet de universiteit in op een verbeterde en verfijnde monitoring van het netwerk, en dit 24/7. “We waren vorig jaar al bezig om een Security Operations Centre (SOC) op te zetten. Twee medewerkers zouden in januari 2020 van start gaan, maar door het incident zijn ze de laatste week van december al gestart. De crisis heeft ons ervoor gezorgd dat we een derde FTE konden werven. Ook die persoon is ondertussen in dienst genomen.”

Infrastructuur gedetailleerd in kaart brengen

“Verder gaan we onze configuration management database (CMDB) verbeteren, zodat we een beter overzicht hebben van welke systemen zich allemaal in ons netwerk bevinden. Ook willen we heel gedetailleerd in kaart brengen welke processen op onze servers draaien en hoe die servers verbonden zijn met onze meer dan 3.000 externe bronnen. Dat is een hele uitdaging: onze centrale IT-dienst beheert alleen al 3.000 werkstations. Daarbovenop worden veel systemen decentraal ingericht, en daar hebben we momenteel nog onvoldoende zicht op”, verduidelijkt Bart van den Heuvel.

In het tweede deel van de casestudy kom je te weten hoe het crisismanagement werd aangepakt en welke afwegingen de UM maakte alvorens over te gaan tot de betaling van het losgeld. Ook geven we weer enkele tips mee om jouw organisatie te beschermen.

Tips om jouw instelling voor te bereiden op een cyberaanval

  • Awareness blijft een cruciale factor
    • Maak je gebruikers bewust van de risico’s van (spear)phishing en leer hen hoe ze valse berichten kunnen herkennen.
    • Stem je informatie af op een specifieke doelgroep (studenten, medewerkers, IT staff, management,…).
    • Sommige doelgroepen zijn extra kwetsbaar. Houd hiermee rekening in je awarenessplan.
    • Moedig mensen aan om incidenten te melden.
  • Breng je netwerk gedetailleerd in kaart en de manier waarop systemen en data met elkaar verbonden zijn. Maak een lijst aan met contacten en back-up contacten van wie wat beheert.
  • Voorkom dat kwetsbaarheden worden uitgebuit door updates tijdig uit te voeren en patches te installeren.
  • Een SOC (Security Operations Centre) helpt je om cyberdreigingen in de gaten te houden en afwijkend gedrag sneller te detecteren.

Deel 2 van het interview gaat over crisismanagement tijdens het incident en welke afwegingen de UM maakte alvorens over te gaan tot de betaling van het losgeld. Ook bevat het enkele tips om jouw organisatie te beschermen.

Dit artikel is relevant tot