Hogeschool en Universiteit van Amsterdam zijn getroffen door cyberaanval

De Hogeschool van Amsterdam en Universiteit van Amsterdam zijn getroffen door een cyberaanval. Wat er gebeurd is, is nog onduidelijk. De onderwijsinstellingen zeggen dat verschillende systemen uit voorzorg zijn uitgeschakeld.

De UvA en HvA waarschuwen voor de aanval op hun statuspagina's. Daar schrijven de onderwijsinstellingen dat 'onbekende derden zich toegang verschaft hebben tot de ict-omgevingen'. De omvang van de aanval is niet duidelijk en de instellingen willen daar voorlopig nog niets over zeggen. De security operations centres van de scholen ontdekten de aanval en zijn op het moment aan het onderzoeken wat de omvang is en welke systemen er precies zijn getroffen.

De scholen hebben verschillende systemen uit voorzorg uitgeschakeld. Het is niet bekend welke systemen dat allemaal zijn. De UvA en HvA waarschuwen studenten en werknemers dat die systemen tijdelijk niet gebruikt kunnen worden. Het is onbekend of er toegang tot data is geweest.

Eerder deze week werd ook al de Nederlandse Organisatie voor Wetenschappelijk Onderzoek getroffen door een cyberaanval, waarbij het vermoedelijk om ransomware ging. Ransomwarecriminelen richten zich regelmatig op scholen en wetenschappelijke instituten, zoals vorig jaar toen de Universiteit Maastricht getroffen werd door ransomware en bijna twee ton losgeld betaalde.

UvA HvA cyberaanval

Door Tijs Hofmans

Nieuwscoördinator

17-02-2021 • 13:08

76 Linkedin

Submitter: Tom W

Reacties (76)

76
69
30
2
0
29
Wijzig sortering
Hoop zullen ze ook bij deze aanval open zijn in wat er is gebeurd, zodat er veel andere organisaties van kunnen leren.
De Uni Maastricht was destijds vrij open over wat er gebeurd was en hoe dat heeft kunnen gebeuren.

Ben eigenlijk wel benieuwd wat er daar in de nasleep nog gebeurd is;
Ze hebben betaald en daarmee hun data terug, maar daarna moest er een heleboel aan de ICT structuur gebeuren, blijkens de aanbevelingen.
En hoe zorg je dat alle systemen schoon zijn, want erop vertrouwen dat criminelen hun woord houden lijkt me naïef?
Door te zorgen dat je naast het 'schoonmaken' van de systemen er ook voor zorgt dat de kwetsbaarheden gepatcht worden, zodat hier niet nogmaals misbruik van gemaakt kan worden. Daarnaast is het van belang dat alle wachtwoorden veranderd worden. Zo zet je feitelijk alle ingangen die misbruikt zijn weer dicht.
Deze hacks zullen grotendeels vrij random zijn en niet verder gaan dan een beetje organisaties afpersen. Als je organisatie gericht gehacked wordt, kan je alle deurtjes wel weer dichtzetten. Maar je hardware is eigenlijk nooit meer te vertrouwen. Als je al volledige toegang hebt is het bv niet zo heel triviaal om wat malware te verstoppen in de firmware van een hardware component of zelfs de BIOS/UEFI om op een later tijdstip weer een deurtje open te zetten. Succes met vinden tussen je tig servers.

Het is wel afhankelijk van de organisatie en de aanvaller of je ales schoon gaat maken of in de praktijk maar beter opnieuw kan beginnen.
Klopt maar ze hadden ongev 1600 vm’s en slechts 5 ervan waren niet helemaal gepatched. Dan vraag ik me toch af hoe je dat in godsnaam allemaal up to dat kan houden gezien de vele problemen die ik ervaar met patchen. Heel vaak lukt het installeren niet en komt er een roll back. En dan weer proberen, logs lezen, herstarten. Dikke ellende allemaal. En dan gebruiken we daar nog een patch systeem voor van Manage Engine. Maar alles helemaal up to is m.i. een utopie. En dan heb ik slechts 90 vm’s en 120 desktops/laptops te doen. Erbij, dat dan weer wel, naast het andere beheer.
1600VMs moeten voor een groot deel cattle zijn. Daarbij hoef je alleen te detecteren dat de patch niet lukt en reprovision je.
Als dat inderdaad zo is ja. Wij draaien voor ca 120 mensen 90 vm’s maar er is er geen 1 gelijk. En is geen vdi.
Een groot deel van de systemen heeft er maanden uit gelegen en o.a. alle credentials waren gereset
Bovendien ging het bij Maastricht om ransomware, wat met hetzelfde programma maar één keer plaats kan vinden
Het ging de hackers ook niet om de data, maar gewoon om geld
Dus de aanpak is dan heel anders dan wanneer de hackers uit zijn op specifieke bestanden, zoals bij overheidsinstanties of grote bedrijven vaker het geval zou zijn
Het gaat ze vaak ook om (vertrouwelijke) informatie waarvan publicatie een probleem zou kunnen zijn. Dat geeft grotere druk op het betalen van losgeld.
Als je wordt getroffen wordt door dit soort Cyberaanvallen is meestal de kennis er ook niet om precies te achterhalen wat er gebeurd is. Als je namelijk dit precies kan uitzoeken ben je ook in staat dit soort zaken te voorkomen althans minimaal je "mission critical assets" te beschermen.

edit. bovenstaande context slaat op het woordje "ze" van Luc45. Ik snap ook wel dat je een externe partij inhuurt als je dit niet zelf kunt. Maar Luc45 had het dus niet over een externe partij.

[Reactie gewijzigd door InsanelyHack op 17 februari 2021 13:33]

Daarom lossen bedrijven dit soort aanvallen ook niet zelf op, maar laten ze een Computer Emergency Response Team (CERT) komen. Zij zijn er in gespecialiseerd om te onderzoeken hoe het incident plaats heeft kunnen vinden en wat er moet gebeuren om alles weer veilig online te krijgen.

SURF, een soort koepelorganisatie voor digitalisering in het onderwijs heeft ook een CERT, het is daarom ook aannemelijk dat zij hier onderzoek naar gaan doen.

[Reactie gewijzigd door Luc45 op 17 februari 2021 15:16]

uuhhh, de UvA heeft een Security and Operations Centre of the Amsterdam University of Applied Sciences (AUAS) afdeling? Als daar niet kennis genoeg zit dan weet ik het niet meer.
Vaak natuurlijk gewoon een menselijke fout in de organisatie en is het vaak zo lachwekkend simpel dat het schaamrood je op de kaken staat en je het maar een "complexe aanval" noemt. ;)
@InsanelyHack
Heel veel studenten hebben vaker de hele intranet en alles wat er bij hoort compleet laten falen in mijn tijd. Daarna heb ik het ook een paar keer nagelezen. Ook studenten die hun zelf een hogere cijfer enzo hebben gegeven ...
Ik mijn tijd op de Fontys, had men ooit een mail-to-all gedaan, met alle addressen in de to:
Studenten gingen hierop reply-to-all'en, en dat heeft het mailsysteem op zijn knieën gebracht.
Surf heeft al heel lang een CERT hoor , die is niet recent opgezet :)
Goed dat je het zegt interdaad, dat was niet het SurfCERT, maar het SurfSOC.
Het SurfSOC is in oprichting samen met FoX-IT inderdaad. :)
Wat zeg ik verkeerd dan? Je zegt toch echt "ze" en hebt het niet over een andere externe partij. Mee eens dat expertise elders moet worden ingewonnen.
Vaak wilt de organisatie die aangevallen is geen reputatieschade, dus wordt er door de organisatie gekozen om alles geheim te houden. Bij de casus in Maastricht is daar gelukkig niet voor gekozen, zodat het ingevlogen CERT (Fox-IT) hier veel kennis over heeft kunnen delen.
Die kennis om het te onderzoeken kun je gewoon inhuren. En dat is nodig ook, anders is de kans groot dat je nadat je up and running bent, weer aan de slag kunt gaan.
Zo'n partij lost geen awareness van je personeel op. Cyber securtity is te reflecteren aan een OSI model en laag 7 de hoogste gebruikerslaag is de exposure met de buitenwereld. Zo'n externe partij lost in een lagere laag het probleem voor je op maar dat is niet een totaaloplossing voor cyberattacks. Zie het als een huis. Je kind heeft zich opgesloten in de badkamer en iemand verlost jouw kind uit de badkamer. Als je vervolgens je voordeur altijd op een kier zet zal er altijd exposure zijn aan de buitenwereld en kunnen er dus altijd onwenselijke dingen in je huis gebeuren.
Meestal schort het wel in het fundament. De bovenste laag is ook belangrijk, maar daar komt altijd wel wat doorheen. Het fundament moet wel in staat zijn de grootste zaken al te blokkeren en helaas schort het daar toch verdomd vaak aan. Het is dan heel eenvoudig te zeggen dat de gebruiker niet op de phishinglink had moeten klikken, maar als jij je patches maar 1x per 90 dagen uitrolt (wat helaas in NL vaak nog het geval is, dan ben jij toch echt meer schuldig als beheerder dan de gebruiker die op het linkje klikte.
Zoals je kan zien in het OSI plaatje zijn alle lagen belangrijk en een bedrijf inhuren om jouw cyberattack aanval op te lossen lost jouw probleem misschien voor nu op maar niet alle zwakheden in alle lagen om het in de toekomst te voorkomen. Alle lagen in dit OSI model dienen dan adequaat te zijn ingericht en vereisen awareness van de gebruikers maar zeker ook awareness voor b.v. budget van het management om b.v. de meest kritische zaken adequaat te beveiligen. De hoogste van het budget bepaald de breedte hoe je dit kan doen.
De kennis om exact te achterhalen wat er is gebeurd is dusdanig schaars dat het voor onderwijsinstellingen niet te doen is om deze in dienst te nemen. Dan huur je een specialistische firma in, die dit onderzoekt en een rapport maakt en daarvan kun je leren en delen met anderen geinteresseerden (zie casus Maastricht).

Het feit dat de HvA/UvA een SOC heeft pleit al voor ze dat ze (proactief) bezig zijn met informatiebeveiliging, een SOC heeft meestal primair een signalerende functie en is geen waarborg dat er geen incident plaats zal vinden, maar mocht er toch een dreiging of incident zijn dan is er in ieder geval de mogelijkheid om afwijkingen te detecteren en adequaat te reageren.
Dat is te kort door de bocht. Een organisatie bestaat uit meerdere mensen die werken volgens procedures. Het kan prima zo zijn dat die procedures niet (helemaal) kloppen of dat de kennis bij een beperkte groep ITers ligt die niet alles kunnen doen. Het kan dus prima zo zijn dat die kennis wel degelijk in huis is.
Helemaal gelijk, de reputatieschade is toch al opgelopen. Dus in plaats van alles geheim houden kan je beter andere instanties en bedrijven helpen dit te voorkomen. Inzicht en openheid in hoe dit soort zaken gebeuren (en hopelijk voorkomen in de toekomst) kan je reputatie imo juist weer herstellen.

[Reactie gewijzigd door S.McDuck op 17 februari 2021 13:20]

Jemig, ligt het aan mij of is er de laatste tijd een flinke stijging in het aantal cyberaanvallen op publiekelijk bekende instanties?
Ik kreeg eerder deze week van Fox-IT een waarschuwing dat ze de afgelopen week een enorme toename in de hoeveelheid phishing mails gezien hebben. Meer malware mails geeft dus kennelijk ook direct meer hacks.
Er is niet zomaar een verband tussen meer zien en meer last hebben. Dat et meer phishingmails worden gezien wil namelijk nog niet zeggen dat die verzonden zijn naar waar je over hoort dat het er een hack is. Het kan natuurlijk een oorzaak zijn maar concluderen zonder duidelijk verband is te makkelijk en ook niet verstandig. Anders is er ook de kans dat het echte probleem niet zal worden aangepakt en je dus last blijft houden.
Dan zou je er statistieken bij moeten zoeken. Ik neem aan dat hackers altijd al aan de poorten lopen te rammelen. Met een zero day of met behulp van een onwetende gebruiker hebben ze dan opeens succes.

Vervolgens kan het nog even duren voor de aanval daadwerkelijk opgemerkt wordt, het uitlekt naar het publiek etc. Bij de Universiteit van Maastricht hadden ze natuurlijk de tijd om alle systemen onder handen te nemen, te versleutelen etc.

Ben wel benieuwd of ze er hier snel bij waren of dat het toch echt al langer speelde en de impact wat groter is. Na de aanval op de universiteit van Maastricht en de impact daarvan letten journalisten mogelijk ook meer op m.b.t dit soort meldingen.

[Reactie gewijzigd door Itrme op 17 februari 2021 14:10]

Meer thuiswerk, dus minder kans dat werknemers aan hun collega's vragen of een email betrouwbaar is?
Veel bedrijven/instanties zijn de laatste tijd van zoals goed als 0 mensen met remote access naar honderden met remote access gegaan
Dus het zal veel makkelijker en ook veel minder opvallend zijn geworden om toegang te verkrijgen
Ik weet niet of het daadwerkelijk meer is geworden, maar met al het thuiswerken is het wel een stuk makkelijker denk ik
Dat komt door twee factoren:
  • Hackers hebben meer tijd om aanvallen voor te bereiden en te plegen.
  • Security van veel bedrijven is afgeschaald. Veel bedrijven die altijd met hardware tokens werken voor authorisatie hebben dit vanwege thuiswerken moeten verruimen: een nieuwe medewerker (vast of inhuur) kan immers niet altijd fysiek een token bemachtigen momenteel.
Waarschijnlijk is het vooral veel makkelijker geworden, en daardoor zien we het meer.
Kan bevestigen dat bij veel bedrijven de hardwaretokens ondertussen zijn vervangen door (ook van RSA) soft-tokens die als een app op je (beveiligde/werk)smartphone draaien; op zich wel handig.
Hoeft niet eens. Het bedrijf waar ik voor werk heeft een klant waar men het mail-account (of mailserver) is binnengedrongen. Wij ontvingen dan ook mails van die klant met o.a. geïnfecteerde PDF-bestanden en anderzijds, teneinde ook ransomware te installeren.
Ligt aan jou dit is al jaren aan de gang, maar het haalt niet altijd het nieuws.
Elke dag gebeurt dit wel in Nederland minimaal 10x. zou er bijna nog een nul achter durven te plakken.
Het word alleen nieuw als het van belang is voor de meerderheid in Nederland.
Tweakers heeft zelf ook last van nieuws vinden dus daarom dat Tweakers dit als nieuws laat zien om het maar op te vullen.
Dit is waarschijnlijk een lopende nasleep van de SOLAWINDS hack
Hmm, de MyHU-pagina van de Hogeschool Utrecht schijnt ook down te zijn. Toeval of uit voorzorg?

Schijnt weer te werken.

[Reactie gewijzigd door AnonymousWP op 17 februari 2021 13:53]

Hmm, de Osiris pagina van de Hogeschool Utrecht schijnt ook down te zijn. Toeval of uit voorzorg?
Geen toeval, zij zullen de nieuwe update aan t uitrollen zijn gok ik :)
De nieuwe update is er al een tijdje, dus denk het niet.
Dan loopt minimaal 1 school achter want daar wordt vandaag en morgen die update uitgerold ;)
Ben wel benieuwd, dus zou je daarvoor een bron kunnen aanleveren?
Intranet van de betreffende school.
Zijn lekker bezig, van de week al NWO en nu HvA/UvA.
Zijn lekker bezig, van de week al NWO en nu HvA/UvA.
Bitcoin meer waard, meer ransomware aanvallen. Daarom koop ik nooit bitcoin.
De alertheid bij andere instellingen lijkt ook hoger; Fontys heeft al een mail verzonden waarin wordt gevraagd om oplettend te blijven op phishing.
Omdat phisingmails uitsturen de eerste stap kan zijn van een cyberaanval.
Idd, Social engineering in z'n groter geheel is vaakst de grondslag van een cyberaanval. Iets wat je als administrator ook niet volledig onder controle hebt...
... omdat dit nog steeds succesvol werkt in veel gevallen.. Aan wie ligt het dan ?
Waarom wordt nonchalant klikken op een onbekend attachment steeds weer een 'cyberaanval' genoemd?
Hoe weet jij dat nonchalant klikken ten grondslag ligt aan deze cyberaanval?
In het artikel staat dat het nog onduidelijk is wat er gebeurd is.
Dat is een beetje hetzelfde als zeggen "waarom wordt het nonchalant open laten staan van de voordeur steeds weer een 'insluipactie' genoemd?"
Het sturen van een kwaadaardig attachment is den cyberaanval. Niet het klikken er op (als dat door een nietsvermoedende gebruiker gebeurt).
Waarom ondersteunen computers eigenlijk kwaadaardige attachments? Waarom worden die niet allemaal witgewassen (PDFs desnoods getoond op een scherm aar ze air-gapped door een camera van af gefotografeerd worden?)
Waarom geven we gebruikers de schuld, terwijl het om taken gaat die een computer veel beter kan doen?
Dat geeft uiteindelijk ook alleen maar schijnveiligheid. Als je bijvoorbeeld Office documenten gaat witwassen is het voor de aanvallers weer een uitdaging om iets te maken wat de witwasserij omzeilt (en die mogelijkheden zijn er ongetwijfeld). Iedereen denkt dan, het is veilig en vervolgens wordt je alsnog aangevallen. En nee, je kunt niet alles als air-gapped PDF's distibueren.

Het enige dat echt werkt is bewustwording.
Ik denk dat het dan beter werkt om attachments te verbieden.
Het is een zwaktebod om dit over te laten aan de gebruiker, die dan geacht wordt mailheaders en extensies te inspecteren?
(Terwijl de mailclient zijn best doet om mailadressen en andere belangrijke informatie te verbergen of buiten beeld te houden. Nee, leg de verantwoordelijkheid gewoon bij de gebruiker...)

[Reactie gewijzigd door sympa op 17 februari 2021 14:27]

Attachments verbieden op een unief...
Hmmm. Great idea.
En wat dan?

Enkel nog hyperlinks versturen naar dropboxen of cloud-hosted documenten?
Dan krijg je dus phishing met hyperlinks, ipv attachments.
Enkel nog documenten afprinten en in een gesloten ruimte voorleggen/uitdelen aan betrokkenen?
Per briefpost verzenden?

Hmmm...
Die dingen openen in een citrix-achtige omgeving?
Ik wil niet zeggen dat het allemaal vandaag kan, maar attachments rond laten sturen is bewezen onveilig.
Stoppen we gifpilletjes in zakken snoep? Want "ja ze zijn wat hoekiger je moet goed opletten hoor!"?
Waarom ondersteunen computers eigenlijk kwaadaardige attachments?
Omdat niemand weet hoe je die moet onderscheiden van de goedaardige attachments.
Waarom worden die niet allemaal witgewassen (PDFs desnoods getoond op een scherm aar ze air-gapped door een camera van af gefotografeerd worden?)
Geld? air-gapped systemen zijn afschuwelijk duur. Omdat ze airgapped zijn kun je ze namelijk niet meenemen in je beheersystemen want die werken allemaal via het netwerk. Een echt air-gapped systeem heeft zo ongeveer een persoonlijk beheerder nodig om met de hand alle klusjes te doen die op andere systemen automatisch gebeuren. Als je updates wil installeren zal je die met de hand op een USB-stick moeten zetten en naar de geairgappte computer brengen. In de tussentijd zit je wel nog met de vraag hoe je zorgt dat er geen virus op de USB-stick komt.

Je kan nog wel iets proberen met een "intern" en "extern" netwerk zodat je alle air-gapped systemen wel samen kan beheren maar gescheiden van de rest van de wereld. Dat blijft lastig en voor het weet is er toch ergens een lijntje getrokken omdat de situatie anders onwerkbaar is.

Het meest waardevolle deel van een moderne computer is misschien wel de netwerkaansluiting. Die weghalen is al snel een enorm dure grap.
Air gap, dus eigen uva netwerk zonder internet connectie.
Ja, ga zo maar eens normaal werken. Enorm frustrerend en vertragend.
[...]
Omdat niemand weet hoe je die moet onderscheiden van de goedaardige attachments.
[...]
Als een computer dat niet kan zien, hoe moet een gebruiker dat dan doen?
Waarom ondersteunen computers eigenlijk kwaadaardige attachments?
Omdat de link of het attachment zelf op zich zelden het probleem is, de acties die daarna door de user moeten uitgevoerd worden wel.

Maar aan de reacties hier te lezen is het blijkbaar nog steeds normaal dat gebruikers eerst het attachment openen, ofwel op de link verder gaan en blijven klikken, of domweg toelating geven om iets te installeren of uitvoeren.
Tja als dat de staat van computerbeveiliging is. Markeer zo'n extern bestand dan als 'tainted' en dus nooit executable.
Ik realiseer me dat het wel een en ander zal veranderen.
Maar bij de "gebruiker" neerleggen is gewoon niet de manier.
Bij een phishingmail moet de user gemiddeld 2 a 3x clicken alvorens het fout. Maar het ligt niet aan de users nee...
Als je weet hoe vaak ik moet klikken bij het afsluiten van outlook...
Ja de gebruiker is wel wat aan te rekenen, maar nee de gebruiker heeft echt geen tools hiervoor.
En ja, een aanvaller kan gebruikers zich ook in heel rare bochten laten wringen ("installeer deze codec") maar het probleem zit toch toch in executable office-documenten?
Er is nog helemaal niet duidelijk wat er is gebeurd en hoe het heeft kunnen gebeuren, dus hoe kan je dat überhaupt concluderen?
Omdat hun detectie systeem rood ging gloeien? Ze hebben triggers gehad dat er iets niet in de haak was. Wat er precies aan de hand is melden ze vanzelf wel.
De tekst vermeld “Wat er gebeurd is, is nog onduidelijk.”

Knap dat jij dan kunt beweren dat er door iemand nonchalant op een onbekend attachment is geklikt...
Of heb je misschien inside informatie?
Die servicepagina's lijken op een externe shared omgeving te worden gehost. Logisch, zo is men niet afhankelijk van functioneren eigen infrastructuur voor mededelingen.
Klopt, een maand later staan die domeinen er nog steeds. Jemig, dat google cloud doet ook vaag met zijn certificaten. Nou ja ik ben het niet gewend zeg maar.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee