Wat Universiteit Maastricht leerde van de ransomware aanval

08-03-2021

Op 23 december 2019 werd Universiteit Maastricht (UM) getroffen door een zware ransomwareaanval, de chief information security officer (CISO) aan de UM deelde in een recent interview de geleerde lessen.

Razendsnel
De ransomwareaanval op 23 december voltrok zich razendsnel. In amper 30 minuten tijd slaagden de hackers erin om de data van 267 servers van de universiteit te vergrendelen, waaronder ook heel wat kritieke systemen. Zo werden de e-mailservers en tal van fileservers - met onderzoeksdata maar ook business operations data - getroffen. Ook slaagden de hackers erin om een aantal back-upservers te versleutelen.

“Een cyberaanval gaat je sowieso overkomen. Het is een kwestie van je zo goed mogelijk voorbereiden en de impact beperken." alsdus Bart van den Heuvel, CISO aan de Universiteit Maastricht.

Malware via een phishingmail
Op 15 oktober stuurden de aanvallers een phishingmail naar verschillende personen binnen de UM. Een van de medewerkers klikte op de link in de mail. Die leidde de gebruiker naar een Excel-document waarin zich een macro bevond. Die macro heeft vervolgens malware van een externe server opgehaald en geïnstalleerd op het werkstation van de gebruiker.

Bart van den Heuvel: “De malware zelf werd herkend door onze virusscanners maar doordat de aanvallers kleine wijzigingen hadden aangebracht, is deze alsnog door onze virusscanners gekomen. Een tweede phishingmail met een link naar een soortgelijk document werd een dag later aangeklikt door een andere gebruiker. Vanaf dat moment hadden de aanvallers een eerste toegang tot het UM-netwerk.”

Voortdurend alert blijven
De belangrijke les hieruit was dat écht iedereen zich door een phishingmail kan laten misleiden. “De gebruiker in kwestie heeft de mail zelfs gerapporteerd aan de service desk van de universiteit. Het bleek te gaan om iemand die heel ‘internetsavvy' was, maar in deze omstandigheden toch op een frauduleuze link heeft geklikt. Ik ben ervan overtuigd dat het onmogelijk is om voor 100% te voorkomen dat iemand op een schadelijke link klikt, maar awareness blijft wel cruciaal”, aldus Bart van den Heuvel.

Graantje meepikken
Ook na de ransomwareaanval bleef de UM niet gespaard van phishing. “Zo circuleerde er bij de UM een phishingmail waarbij er expliciet werd verwezen naar de ransomwareaanval in onze instelling en waarin gebruikers werd gevraagd om, naar aanleiding van het incident in UM, uit voorzorg hun wachtwoord aan te passen. Varianten daarop, ook met verwijzing naar de UM, circuleerden ook bij andere instellingen. Ook andere cybercriminelen probeerden dus hun graantje mee te pikken. Dit maakte dat we voortdurend zeer alert moesten blijven en heel gericht moesten communiceren naar onze gebruikers”.

Awarenesscampagne
Voor de zomer lanceerde de UM een awarenesscampagne met do’s en don’ts. Die is breder dan phishing alleen en focust ook op basis-cyberhygiëne, zoals het vergrendelen van je scherm zodra je je laptop even niet gebruikt. Deze is bij de start van het nieuwe academische jaar in september herhaald voor studenten. “Om de boodschap op een aantrekkelijke en ludieke manier te brengen, hebben we een cartoonist ingeschakeld. In het najaar van 2020 najaar geven we nog awarenesstrainingen die specifiek zijn afgestemd op zowel onze IT-medewerkers als op het management. Ook zijn er, in nauwe samenwerking met onze juristen en de afdeling communicatie, plannen om zelf phishingmails sturen om op deze manier onze gebruikers te trainen”, licht hij toe.

5 keer meer meldingen over phishing
De ransomwareaanval zelft heeft wat awareness betreft zijn vruchten al afgeworpen. Zo kreeg de service desk van de UM dit jaar al 5 keer meer meldingen van gebruikers over phishing ten opzichte van vorig jaar, hoewel er geen aanwijzingen zijn dat het aantal phishingmails zo sterk is gestegen.

De geleerde lessen
In de periode tussen 15 oktober en de ransomwareaanval op 23 december baanden de hackers zich geleidelijk een weg in het netwerk van de UM. Bart van den Heuvel: “Hun doel was om ons netwerk zo goed mogelijk in kaart te brengen en intussen onder de radar te blijven. Door misbruik te maken van onveilige achterdeurtjes konden de hackers steeds verder in ons netwerk geraken. Zo slaagden ze er bijvoorbeeld in om een versleuteld wachtwoord van een administrator, dat zich in het geheugen van een bepaalde server bevond, te gebruiken om toegang te krijgen tot een volgende server.”

Netwerksegmentatie
De UM trok belangrijke lessen uit de analyse van deze ‘laterale fase’ en implementeerde al verschillende maatregelen om in de toekomst sneller te kunnen ingrijpen. “Onze doelstelling is duidelijk: als aanvallers toch binnenkomen, moeten we ervoor zorgen dat ze niet verder in het netwerk kunnen doordringen. Dat doen we door ons netwerk nog beter te segmenteren, waarbij iedere server achter een eigen firewall zit. Verder zullen we onze admin-accounts ook beter scheiden, zodat een beheerder niet automatisch toegang heeft tot alles.”

Betere monitoring
Ook zet de universiteit in op een verbeterde en verfijnde monitoring van het netwerk, en dit 24/7. “We waren vorig jaar al bezig om een Security Operations Centre (SOC) op te zetten. Twee medewerkers zouden in januari 2020 van start gaan, maar door het incident zijn ze de laatste week van december al gestart. De crisis heeft ons ervoor gezorgd dat we een derde FTE konden werven. Ook die persoon is ondertussen in dienst genomen.”

Infrastructuur gedetailleerd in kaart brengen
“Verder gaan we onze configuration management database (CMDB) verbeteren, zodat we een beter overzicht hebben van welke systemen zich allemaal in ons netwerk bevinden. Ook willen we heel gedetailleerd in kaart brengen welke processen op onze servers draaien en hoe die servers verbonden zijn met onze meer dan 3.000 externe bronnen. Dat is een hele uitdaging: onze centrale IT-dienst beheert alleen al 3.000 werkstations. Daarbovenop worden veel systemen decentraal ingericht, en daar hebben we momenteel nog onvoldoende zicht op”, verduidelijkt Bart van den Heuvel.

Bron: website SURF