Cybersecurity en de gevolgen van een ransomware-aanval

Ingediend door Dirk Hornstra op 03-feb-2021 21:52

Ik ben lid van de KIVI. Naast hun eigen (momenteel digitale) activiteiten delen ze ook activiteiten van de KNVI. Zo kwam ik het online event van vandaag tegen met de titel "Cybersecurity en de gevolgen van een ransomware-aanval" waarbij gesproken wordt met de CIO van de universiteit Maastricht. Dat leek me interessant, dus aangemeld en vanmiddag de sessie gevolgd. Mocht je trouwens student zijn, dan kun je voor 20 euro per jaar lid worden, inclusief digitale versie van het blad 'de Ingenieur'. Ben je 'young professional', dan kun je lid worden voor 40 euro per jaar. Ga daarvoor naar https://www.kivi.nl/formulieren/aanmelden-kivi-lidmaatschap

Misschien weet je het verhaal nog wel. Eind december 2019 kwam op het journaal: de universiteit van Maastricht was gehackt, ransomware. Studenten kunnen niet meer bij hun  documenten komen, dus in de kerstvakantie niet met verslagen bezig, systemen staan uit, examens en alle andere zaken, het werkt niet meer. Zoals op het scherm achter Rob Trip staat: geen mailverkeer, geen studentenportaal, geen bibliotheek. En er werd ook gezegd: er wordt misschien wel betaald aan de criminelen om de boel weer te "unlocken". En dat is uiteindelijk ook gedaan.

Ik ben de eerste die hier heeft staan schreeuwen: "Nooit en te nimmer betalen! Zo blijft het een lucratieve business voor de bad-guys en wordt het alleen maar erger!". Ik ben wel benieuwd of ik van mening zou veranderen (spoiler alert: ja dus).

Er zijn 2 sprekers, Michiel Borgers (CIO universiteit Maastricht) en Maarten Souw (die op persoonlijke titel spreekt, niet namens het bedrijf waar hij werkt, hij is Security Officer AFM).

Michiel laat ons eerst de uitzending van het journaal terug zien, dat herkende ik nog wel. Michiel had nog wat gedaan, had zijn werk afgesloten en werd redelijk snel daarna door IT gebeld: "het ziet er niet goed uit". En dat was een understatement, want de hele organisatie lag plat. De vraag of het voorkomen had kunnen worden, dat is een moeilijke vraag. Misschien met de kennis van nu. Maar ook nu zijn nog steeds bedrijven slachtoffer van dit type praktijken omdat ook de ontwikkelingen bij de boeven doorgaan. Daar komen we op terug.

De uitzending van het journaal was van 28 december 2019. Toen was het al een aantal dagen aan de gang. Maar het echte startpunt lag op 15 oktober 2019. Toen is er een phishing mail binnengekomen ("controleer nog even dit document of alles klopt") wat zich op de systemen genesteld heeft. We zien dat het lijkt alsof er naar een document op een one-drive locatie gelinkt wordt, maar dat is een URL waar een phishing partij achter zit... Ook zien we het tekstbestand wat bij de versleutelde bestanden staat. Daarin staat uitleg en 3 tot 5 e-mailadressen waarmee je de hackers kunt bereiken. Ook vragen ze je een geëncrypt bestand te mailen (niet meer dan 6MB), zodat ze deze kunnen decrypten en je kunnen laten zien dat zij de sleutel(s) in handen hebben. Laat duidelijk zijn, dit zijn geen script-kiddies, dit zijn professionals. In het tekstbestand staat dan ook "nothing personal, is a business". De universiteit heeft Fox IT ingeschakeld en zo zijn ze het hele tijdspad langs gegaan. Flow: eerst de phishing-mail, hiermee zijn zaken open gezet en zijn de hackers ergens binnengekomen. Vervolgens zijn er een aantal verouderde systemen op het netwerk gevonden, die zijn gebruikt voor de verdere verspreiding. Zo gaat dit het netwerk over. Vervolgens is er een antivirus gaan piepen! Maar dat is niet uitgezocht/opgevallen en de software van de hackers is zo goed dat die de anti-virus verwijderd heeft! Hierdoor was er geen detectie meer en kon de ransomware geïnstalleerd worden. Vervolgens zijn in 20 minuten 267 servers gegijzeld (van de totale 1.650 servers die de universiteit heeft).

Regel 1: zet de server(s) niet uit, want daarmee verwijder je waarschijnlijk bewijs, maar trek wel de netwerkkabels eruit!

Tot zover het tijdspad en nu? Fox IT heeft dit allemaal onderzocht. En zo was er de vraag: ransomware, ok, maar zijn onze "kroonjuwelen" ook ontvreemd? Hebben de hackers data naar buiten gehaald, onderzoek-/patiëntdata gedownload? Gelukkig was dat niet het geval (de huidige hackers passen dit wel toe, dus dan heb je een vervolg-probleem). En als we alles weer up en running willen krijgen, hoe lang gaat dat duren? De inschatting die toen naar voren kwam was dat het 2 tot 3 maanden zou kunnen duren. Geen tentamens, geen colleges, schadeclaims. Dus hoewel de eerste reactie van Michiel was: "Betalen? Over my dead body!", was het een kwestie van de zaken tegen elkaar afwegen. Verzekeringsmaatschappijen geven van tevoren al de voorkeur aan betalen, omdat dit minder kost dan als je dat niet doet. Er is dus betaald en dat heeft ervoor gezorgd dat 2 januari de boel weer draaide en op 6 januari alles weer beschikbaar was en studenten weer aan het werk konden gaan.

En toen was het zaak om de zaken goed aan te pakken zodat de universiteit (hopelijk) nooit weer in deze situatie komt. Dat is:

  • Zorg voor netwerklogging en monitoring. Weet wat er op jouw netwerk gebeurt.
  • Zorg dat je systemen up-to-date zijn, voer alle patches door. Van die 267 servers waren er 4 niet bij met de patches.
  • Segmenteer je netwerk en zorg voor een goede password-policy. Toen is zonder tegenstand de wachtwoordlengte naar 16 karakters gegaan bij de universiteit.
  • Oefen de verschillende crisis-scenario's en verbeter je plannen.


Michiel komt nog met dit lijstje:

  • Wees open als je getroffen bent. Want begin dat jaar had dezelfde groep de universiteit in Antwerpen al te grazen genomen. Het had misschien de aanval niet voorkomen, maar wel gezorgd voor meer alertheid.
  • Never waste a good crisis: als je toch de sjaak bent, ga dan meteen alle backlog-items maar wegwerken.
  • Stel een prioriteitenlijst op. Welke zaken kunnen ontvreemd worden en wat is qua volgorde daarbij niet zo er, erg, heel erg en "rampzalig"?
  • Iedereen was bereid te helpen. Met zijn allen de schouders eronder zetten, niet zwartepieten van: "als die gast die link nou niet had aangeklikt, hadden wij geen probleem gehad". Je zit met zijn allen in de shit, dan ga je ook met zijn allen het fixen!


En als ontspannend vermaak nog even de "Cyber Security Excuse Bingo".

  • Van wie is server SRV023WTF%@#2?
  • Het ging tot nu toe altijd goed.
  • Admin-account wordt alleen noodzakelijk gebruikt.
  • Onze IT is niet cruciaal voor de continuïteit van onze organisatie.
  • Al die verschillende beheeraccounts, ik heb er één gemaakt.
  • Als die gebruiker die mail maar niet had geopend...
  • Het kan toch iedereen overkomen?
  • Morgen installeer ik de update.
  • Security: centraal is daarvoor verantwoordelijk.
  • Die zandbak loopt al 3 jaar "onveranderd" stabiel.
  • Mac's zijn niet vatbaar voor hacks.
  • Kan het SOC niet met een mannetje minder?
  • Oh, deze alert heb ik al veel vaker gezien.
  • Ik heb het te druk: logfiles bekijk ik morgen wel.
  • Niet patchen, anders werkt de applicatie niet meer.
  • We hebben alles netjes online gebackupt.
  • Wij hebben een virus-scanner.
  • Ons netwerk is gesegmenteerd in een Windows en Linux gedeelte.
  • Dit is maar een testmachine.
  • Dat SPAM-filter is verkeerd ingesteld, er zit veel te veel in.


Nou ja, ontspannend... het zijn allemaal potentiële oorzaken van grote problemen.

Ik zou er nog op terug komen, was het te voorkomen geweest? Waarschijnlijk was het minder intensief geweest als alle good-practises doorgevoerd waren. Zorg dus dat jouw organisatie wel de zaken op orde heeft. Zie je vreemde dingen, heb je het vermoeden dat er iets niet goed gaat, blijf niet stil, maar meldt het. Als iedereen alert is, zorgt je al voor een veel betere fysieke monitoring van wat er op het (interne) netwerk gebeurt. En vooral nu, nu we (bijna) allemaal thuis werken, zitten we allemaal online. En zullen er vast wat werk en privé zaken door elkaar lopen. Lees je snel een mailtje en ga je toch op die link klikken (doe het niet!). En zitten er meer mensen (familieleden) ook op het netwerk, met hun eigen acties/downloads die invloed kunnen hebben. Er is maar één manier om alert te blijven: volledig paranoïde zijn ;)

Hierna volgt nog een verhaal van Maarten Souw. Ik heb daar ongeveer een half uur naar geluisterd, maar had eigenlijk de uitzending wel af kunnen sluiten en bovenstaande samenvatting uit kunnen typen. Want het verhaal van Michiel, duidelijk, uitgebreid, kun je wat mee. Het verhaal van Maarten, ik heb geen idee (meer) waar hij het over had. Niet het idee dat ik er iets nuttigs mee zou kunnen doen. En mensen die uitspraken doen als "stip op de horizon, de schoorsteen moet roken, ben ik een statige organisatie, dan kun je aan een slotgracht denken", met dat nietszeggende wollige taalgebruik heb ik helemaal niets.