Hackers Hogeschool en Universiteit Amsterdam zijn uit op 'financieel gewin'

De cyberaanval op de Hogeschool en Universiteit van Amsterdam is 'door financieel gewin gedreven', zegt de universiteit. Onderwijssystemen zijn weer online en kunnen gebruikt worden, waardoor onderwijs en onderzoek minimaal gehinderd worden.

De UvA en HvA zijn het slachtoffer geworden van 'professionele hackers' die uit zijn op 'financieel gewin'. Dat maakt het Computer Emergency Response Team van de universiteit en hogeschool bekend in een update over de cyberaanval van eerder deze week.

Het team onderzoekt momenteel alle UvA- en HvA-servers en -systemen om te achterhalen wat er precies is gebeurd, en het team noemt ook nog niet expliciet dat het gaat om een ransomware-aanval, maar wel dat de hackers uit waren op geld. In een faq schrijft de UvA dat er geen aanwijzingen zijn dat er persoonlijke data of onderzoeksgegevens gelekt zijn bij de aanval.

Volgens het CERT is er geen losgeld geëist voor de hack, doordat deze vroegtijdig is opgemerkt door het Security Operations Center van de universiteit. Uit sporen die achtergelaten zijn, zou blijken dat het om professionele hackers gaat. Volgens het CERT duurt het onderzoek naar de aanval op de UvA en HvA nog enkele dagen.

Volgens de universiteit en hogeschool is het inmiddels weer mogelijk om gebruik te maken van onderwijssystemen, nadat eerder deze week uit voorzorg verschillende systemen waren uitgeschakeld. Onderwijs en onderzoek zou maar minimaal gehinderd worden door de aanval en kan daarom doorgaan en ook kunnen studenten en medewerkers gewoon gebruik blijven maken van e-mail en bestanden.

Een week eerder werd ook al de Nederlandse Organisatie voor Wetenschappelijk Onderzoek getroffen door een cyberaanval, waarbij het naar alle waarschijnlijkheid ook om ransomware ging. Volgens het CERT van de UvA en HvA is er geen verband met de situatie bij de NWO. Ransomwarecriminelen richten zich vaker op scholen en wetenschappelijke instituten, zoals vorig jaar toen de Universiteit Maastricht getroffen werd door ransomware en bijna 200.000 euro aan losgeld betaalde.

Door Stephan Vegelien

Redacteur

Feedback • 19-02-2021 12:02
51 • submitter: zoek34

19-02-2021 • 12:02

51 Linkedin

Submitter: zoek34

Lees meer

Hogeschool van Arnhem en Nijmegen meldt datalek met persoonsgegevens - update 2 Nieuws van 3 september 2021
NWO werd via phishingmail door ransomware getroffen maar kan back-ups herstellen Nieuws van 18 maart 2021
HvA en UvA: cyberaanval is afgeslagen en heeft niet geleid tot vraag om losgeld Nieuws van 10 maart 2021
Hogeschool Inholland is gehackt en data tienduizenden studenten wordt aangeboden Nieuws van 1 maart 2021
Hackergroep Doppelpaymer zet NWO-bestanden online na weigering te betalen Nieuws van 25 februari 2021
HvA en UvA: aanvallers hebben versleutelde wachtwoorden gestolen Nieuws van 23 februari 2021
Hogeschool en Universiteit van Amsterdam zijn getroffen door cyberaanval Nieuws van 17 februari 2021
Nederlandse Organisatie voor Wetenschappelijk Onderzoek is gehackt Nieuws van 15 februari 2021
'Onderwijs investeerde extra in cyberbeveiliging door ransomware en coronavirus' Nieuws van 8 februari 2021
Tentamens van duizenden UvA-studenten zijn uitgesteld vanwege storing - update Nieuws van 20 oktober 2020
Meer producten en artikelen
Netwerk en systeembeheer Onderwijs en werkgelegenheid Ransomware UvA

Reacties (51)

-Moderatie-faq
51
48
27
2
0
17
Wijzig sortering
Kuusje
19 februari 2021 14:25
De tijd dat hackers (en andere digitale klojo's) 'for the lulz' aan het werk gingen is voorbij. Dankzij crypto currency is er nu een werkbaar anoniem betaalmiddel om overal ter wereld te cashen. Ik voorzie dan ook een afname van 'gewone' virussen die 'alleen maar' data wissen en systemen platleggen. Nu moeten systemen gegijzeld worden en de eigenaar afgeperst. Waarom dan onbetaald zitten kloten als je er ook aan kan verdienen?
Randsomware hackers werken stilletjes en langzaam. Rustig aan alles in kaart brengen, overal binnen dringen en zo mogelijk ook de back ups infecteren. Als men informatie wil stelen zal men snel te werk gaan, data kopiëren en (zonder sporen achter te laten) wegwezen. Deze verschillende manieren van werken hebben een heel andere insteek.

[Reactie gewijzigd door Kuusje op 19 februari 2021 22:34]

mbbs1024
@Kuusje19 februari 2021 22:25
En dankzij cryptomunten zijn deze criminele geldstromen ook niet traceerbaar voor de politie en andere veiligheidsdiensten, daardoor wordt dit soort criminaliteit steeds aantrekkelijker.
RogerDad
@mbbs102421 februari 2021 10:27
te lezen aan de reacties hier onder kan je het beter formuleren dat dankzij cryptocurrency de personen achter dit soort criminaliteit veel moeilijker te traceren zijn. Dat we in de blockchain de transacties zien is zeker interessant, maar geeft op zichzelf onvoldoende informatie om de “threat actors” te achterhalen.
janbaarda
@Kuusje20 februari 2021 02:19
Bij "crypto" zijn de geldstromen zeer goed te volgen. Alles wordt bijgehouden in een 'federated' boekhouding. Zeer moeilijk om mee te knoeien.

Uiteraard zijn er mogelijkheden om bronnen te verhullen (o.a. door een 'mixer'), maar dit kan ook met fiat geld. Eigenlijk zijn voor de misdaad dollars handiger. Deze zijn goed verhandelbaar en daardoor moeilijk te traceren.

Enige verschil is dat voor een internet transactie in bitcoin geen bank nodig is.
fevenhuis
@Kuusje20 februari 2021 12:45
U scheert hier wel heel veel dingen over een kam om zo tot dit soort foute uitspraken te komen.

De meeste crypo currencies, op een paar uitzonderingen na, zijn veel beter traceerbaar dan traditionele financiële transacties, dat is ook precies een van de belangrijkste aspecten waarom Bitcoin het zo goed doet, alles is vrij doorzichtig.

Ook voor het bestaan van crypocurrencies werd er gehacked voor financieel gewin, de gehackte data of toegang werd gewoon verkocht, cryptocurrencies hebben hier niets aan veranderd. U denkt waarschijnlijk aan de malware attacks die data van bedrijven encrypten om deze dan tot het betalen van losgeld te dwingen, dit is niet zozeer het gevolg van hack activiteit maar meer van malware.

Ik persoonlijk denk dat de grote toename van hackactiviteiten meer te maken met de focus op van cyberactiviteiten van de bestaande defensie van landen, omdat dit de een soort van asymmetrische oorlogvoering vandaag de dag makkelijker is dan gewoon bombarderen.

Wat betreft de bedrijven denk ik dat bedrijfsspionage altijd al op zeer grote schaal actief is geweest op het hackcircuit om onder andere te zien wat de concurrentie aan het doen is, maar ook gewoon wat voor technologische kennis er gewonnen kan worden.

Voor zowel nationale regeringen als defensie organisaties zullen universiteiten zeer hoog op de lijst staan vanwege hun betrokkenheid in wetenschappelijk research.

Dit soot organisaties dekken hun zaakjes altijd goed in door hun acties te vermommen als het een of ander, zoals een hack voor wat cryptos.

De term 'financieel gewin' kan natuurlijk van alles betekenen.

[Reactie gewijzigd door fevenhuis op 20 februari 2021 12:48]

BramVroy
19 februari 2021 12:08
Ik ben benieuwd hoe dit soort onderzoek in zijn werk gaat. Het kan "dagen duren", wordt er geschreven. Wat houdt dat werk dan in als er een volledige cyber crime eenheid op werkt? Ik veronderstel dat het niet zo simpel is als naar access/inlog logs te kijken en that's it?
oak3
@BramVroy19 februari 2021 12:41
Het kost nogal moeite om alle sporen uit te lopen. Vanaf de detectie zoeken naar patient zero betekent uitzoeken van welke systemen de aanvaller gebruik heeft gemaakt. Van die systemen de logs veilig stellen en analyseren en vandaar weer verder kijken of er andere systemen betrokken zijn geweest.

Hetzelfde voor alle accounts. Tot welke account heeft de aanvaller toegang gehad en tot welke accounts heeft die mogelijk nog toegang omdat hij een de wachtwoorden heeft gedumpt of gekraakt.
Dan nog kijken welke malware er is gebruikt en op welke systemen die gevonden worden.
Tenzij je alles centraal logt, betekent dat uitvogelen welke systemen het zijn en daar de logs van veilig stellen.

Als het begonnen is met phishing heb je ook nog de taak om te gaan spitten in mailboxen en uit te vogelen bij wie en hoe het binnen is gekomen.

Dan heb je helaas ook nog te maken met het feit dat in zulke organisaties systeembeheer geen volledig overzicht heeft van alle systemen. Komt regelmatig voor dat ze vergeten zijn dat er nog ergens een domain controller met een full trust draait die niet meer gebruikt wordt.

Dat moet je allemaal doen om te voorkomen dat de aanvaller toegang houdt. Voor hetzelfde geld heeft hij een account + vpn aangemaakt voor zichzelf of is er ergens teamviewer geïnstalleerd als backdoor. Alles bij elkaar super veel onderzoekswerk en allemaal niet erg eenvoudig.

Overigens chapeau dat ze het tijdig gedetecteerd en ingegrepen hebben. Daar kunnen veel organisaties nog van leren.

[Reactie gewijzigd door oak3 op 19 februari 2021 12:55]

Maurits van Baerle
@oak319 februari 2021 13:35
Wat voor manieren zijn er eigenlijk om te weten of een inbreker welke data heeft gekopieerd? Er wordt natuurlijk feitelijk niets weggenomen, alleen gekopieerd. Je kunt dus niet vaststellen dat het origineel verdwenen is, zoals bij een gewone huis- of bedrijfspand inbraak.
oak3
@Maurits van Baerle19 februari 2021 14:06
Dat is inderdaad erg lastig. Maar soms is het zo simpel als een zip die door de aanvaller is gemaakt in combinatie met een bepaalde hoeveelheid data die op dat moment over het netwerk is gegaan.

Het kan echter veel lastiger zijn. Maar als de aanvaller tot iets toegang heeft gehad of ergens op ingelogd is geweest, moet je er in ieder geval rekening mee houden.
dycell
@Maurits van Baerle19 februari 2021 14:14
Hiervoor zijn speciale beveiligingssystemen genaamd SIEM:
https://en.wikipedia.org/...tion_and_event_management
Deze stellen alle logs en events vast en (onderdeel van de functionaliteit) archiveren deze ook extern (read-only, niet te wissen). Hoe lang men deze data bewaard is aan de klant zelf.

Dus ook als een log gewist of gemanipuleerd wordt, zijn de sporen terug te vinden.
Dit soort systemen worden echter gebruikt bij gevoelige omgevingen (betalingssystemen, banken, etc).
nst6ldr
@Maurits van Baerle19 februari 2021 14:46
Er zijn audit logs beschikbaar die je kan raadplegen om te zien welk proces een bestand heeft gelezen, die ga je niet met mmc vinden trouwens, daarvoor moet je echt een image van de disk maken en deze mounten en uitpluizen met bijvoorbeeld kali.

Dan weet je overigens nog niet welke bestanden gekopieerd zijn, maar wel tot in hoeverre ze zijn gelezen (properties of het hele bestand), dat zou op zich een goede aanwijzing moeten zijn. Je kan deze informatie dan gaan matchen met informatie die je van andere server- en werkstation images kan vinden.

Zo'n CERT gaat heel systematisch te werk:
  • Een team bevriest alles en stelt data veilig, denk aan disk images en werkgeheugen, hieruit kan je een hele sessie afleiden tot en met wat er op dat moment in de ethernet stack staat en zo applicaties linken aan sockets.
  • Een ander team neemt alle data en maakt hier een tijdlijn van, dat kan meer werk zijn dan je denkt aangezien verschillende applicaties en OSen anders omgaan met tijd, en aanvallers soms bewust timestamps aanpassen om onderzoekers op het verkeerde pad te zetten.
  • En als laatste gaat een analist aan de slag om de bewegingen van de aanvaller(s) in kaart te brengen en hier een chronologisch verhaal van maken.

[Reactie gewijzigd door nst6ldr op 19 februari 2021 14:49]

CAPSLOCK2000
@Maurits van Baerle19 februari 2021 15:14
De meest effecteive manier is om alle toegang tot data te registeren. Liefst natuurlijk op een zelfstandig systeem zodat dit buiten schot blijft als de rest van je omgeving wordt aangevallen.

Als je geen gedetailleerde logs waarin exact staat welke bestanden er zijn opgevraagd dan kun je er soms nog een slag naar slaan op grond van verbindingsgegevens. Als je switch laat zien dat er in 100gb verkeer over een bepaalde netwerkpoort is gegaan sinds er een kraker actief is dan kun je maar beter aannemen dat dit systeem is leeggetrokken en dat alle data op dat systeem is uitgelekt. Dat is natuurlijk een enorm onnauwkeurig middel. Het werkt beter de andere kant op, soms kun je zo laten zien dat er geen grote hoeveelheid data uitgelekt kan zijn omdat er domweg niet genoeg data verstuurd is om veel voor te stellen.

Zo had ik vandaag nog te maken met een "aanval" op SSH op een systeem waar ik geen toegang tot heb. Uiteindelijk bleken er 100 bytes te zijn verstuurd tussen die systemen. Je kan op geen enkele manier een volledige SSH-verbinding opzetten in zo weinig bytes en ook voor een realistische exploit is het eigenlijk te weinig. Daarom durf ik te zeggen dat dit syteem niet is gekraakt ook al heb ik geen idee wat voor data er naar die SSH-poort toe is gestuurd.
sinshz
@Maurits van Baerle19 februari 2021 13:37
Een goed opgezet systeem maakt logs van alle kritieke systemen wat er op gebeurd.

Natuurlijk is ook de vraag hoe lang die logs bewaard worden en of het gestolen is binnen die tijd.
SinergyX
@BramVroy19 februari 2021 12:16
Dat zal zeker onderdeel zijn, maar alleen dat doorlopen is denk ik al een behoorlijke klus. Denk aan een inbraak in een huis.. Via welke manier, welke tools, welk bewijs etc. Vervolgens waar ze geweest zijn, wat is er gestolen, wat is er niet meegenomen, is er nog bewijsmateriaal, wat was de volgorde, etc. Geval van zijn cyberattack, wat is er achtergebleven, kunnen ze er nog in, is er extra geinstalleerd, etc.

En dat ook nog eens redelijk waterdicht moeten kunnen vinden, vast kunnen leggen en de juiste conclusies uit trekken, daar ben je wel even mee bezig.

[Reactie gewijzigd door SinergyX op 19 februari 2021 12:17]

The Zep Man
@SinergyX19 februari 2021 12:35
Dat zal zeker onderdeel zijn, maar alleen dat doorlopen is denk ik al een behoorlijke klus. Denk aan een inbraak in een huis.. Via welke manier, welke tools, welk bewijs etc. Vervolgens waar ze geweest zijn, wat is er gestolen, wat is er niet meegenomen, is er nog bewijsmateriaal, wat was de volgorde, etc. Geval van zijn cyberattack, wat is er achtergebleven, kunnen ze er nog in, is er extra geinstalleerd, etc.
En ook belangrijk: welke data is achtergelaten. Een folder aan gevoelig materiaal (bijvoorbeeld kinderporno), een aangepaste browser zoekgeschiedenis, en een anonieme tip op de juiste plek kunnen voldoende zijn om iemand het leven zuur te maken.
kuurtjes
@The Zep Man19 februari 2021 13:28
Dat is best wel een vrij paranoia gedachtegang.
supersnathan94
@kuurtjes19 februari 2021 14:02
Jup. En dat is precies hoe je een hack moet benaderen. Allerlei mogelijke scenario’s bekijken om blackmailing te kunnen tegengaan bijvoorbeeld.
killercow
@kuurtjes19 februari 2021 15:04
hoezo paranoia?
Je weet al dat "ze" het op je gemunt hebben, en dat ze slim genoeg zijn geweest om binnen te kunnen komen. Uiteraard doen ze er alles aan om alsnog te behalen wat ze wilden, zeker als het laaghangende fruit (lees, binnendringen, ransom eisen) ineens niet meer mogelijk blijkt nadat de moeite al gedaan is. Die "investering" zien "ze" natuurlijk niet graag verdampen.
elbowlessgoat
@SinergyX19 februari 2021 12:59
En dan heb je nog niet meegenomen hoe lang het duurt om een forensisch kopie van een disk te maken (laat staan meerdere) en die dan weer gied te ingesten op je onderzoeksomgeving.

Ervaring leert dat een onderzoek naar een paar systemen, afhankelijk van hoeveel je vindt, al dagen werk kan zijn. Tijdslijnen opstellen, kijken hie malware is binnen gekomen, nakijken of er 1 of meerdere compromised accounts zijn, etc. Een onderzoek door een CERT is echt een bak werk, ook als je met een team eraan werkt.
Anoniem: 14842
@BramVroy19 februari 2021 12:15
Netwerk verkeer, access logs, gestarte executables en scripts en daar vervolgens correlaties in aanbrengen om tot een root cause/entrypoint te komen. Het is echt heel veel werk. Goede tooling helpt enorm.
peerke1987
@BramVroy19 februari 2021 12:29
Geen idee waarom je zo down-voten.. Legitieme vraag.
Luc45
19 februari 2021 12:38
Goed om ook eens een verhaal te horen dat door middel van SOC detectie en tijdig ingrijpen iets ergers voorkomen had kunnen worden. Zou helemaal mooi zijn als er nog een write-up vrijgegeven zal worden met wat ze gedetecteerd hebben en hoe ze hierop gehandeld hebben.
MattiVM
@Luc4519 februari 2021 13:14
En die write-up kan dan potentieel nieuwe zwakheden tonen aan de buitenwereld en hackers weten dan waar ze in de toekomst moeten op letten. Ik snap dat dit enorm interessant kan zijn (en dit is ook interessant om uit te leren voor eventueel beveiliging op eigen systemen), maar of het slim is, is een andere kwestie.

Voorbeeldje 1:
"Ze hadden ingebroken via de achterdeur en daar hebben we nu een slot van type X op gezet en een alarm van type Y." -> Te veel info. En wat met de voordeur?

Voorbeeldje 2:
Nieuwskanaal: Politie gaat morgen snelheidscontroles doen op plaats X, tussen Y en Z.
Nieuwskanaal 1 dag later in de avond: Mensen houden zich zeer goed aan de snelheid, de politie heeft vandaag bij de controle maar X boetes moeten geven terwijl dit er anders X meer zijn.
Luc45
@MattiVM19 februari 2021 13:16
Zeker waar, maar als je de voor/achterdeur op de goede manier beveiligd hebt (a.k.a. dicht gezet hebt, niet met een workaround), dan is het risico van het vrijgeven van de informatie minimaal m.i.
KoffieAnanas
@Luc4519 februari 2021 13:29
Bij andere organisaties is deze voor/achterdeur wellicht nog niet goed beveiligd. In Nederland wordt deze kennis goed uitgewisseld, maar hackers opereren wereldwijd.
Luc45
@KoffieAnanas19 februari 2021 13:31
Bijna alle methodieken zijn al bekend. Kijk bijvoorbeeld eens naar MITRE ATT&CK. Het voordeel van deze kennis in de specifieke casus, zal er juist voor gaan zorgen dat organisaties die nog niet alles op orde hebben, juist achter hun oren gaan krabben of ze hier niet iets tegen moeten gaan doen.
supersnathan94
@Luc4519 februari 2021 14:07
Het probleem is alleen dat er niet 1 voordeur en 1 achterdeur zijn. Iedere partij is afhankelijk van derde partijen binnen het huis, en als dan een derde partij een lek binnenbrengt ben je alsnog de sjaak. Zie ook de solarwinds hack.

Om het in huistermen te houden. Je kunt alles volledig luchtdicht maken, maar uiteindelijk zal de afzuiging toch ergens aan moeten zuigen. In mijn geval is dat helaas door de brievenbus en langs de spoelknop van het toilet.
Pinkys Brain
@Luc4519 februari 2021 14:52
Er is bijna niks goed beveiligd en gebruikers (zelfs beheerders) willen over het algemeen de beperkingen noodzakelijk voor goede beveiliging niet.

Een zootje heuristics loslaten op realtime logs en netwerk verkeer is heel erg pijnloos voor gebruikers ... en dat is dan ook een redelijk standaard "oplossing". Waar de heuristics op letten moet wel geheim blijven.
kodak
@MattiVM19 februari 2021 15:30
Beveiliging bestaat uit het leren van situaties. Onderwijs bestaat uit kennis delen. Dat er risico's zijn wil niet zeggen dat je dus maar beter niets kan delen, anders kan je net zo goed stoppen met willen leren en gaan wachten tot een crimineel je tot slachtoffer maakt. Criminelen gebruiken daarbij ook kennis dat iets bijna leek te lukken om een ander tot slachtoffer te maken. Het enige juiste lijkt dus te kijken wat er voor anderen valt te leren en te kiezen wat je met wie wil delen. Dat leek ook te gebeuren bij de universiteit van Maastricht, daar hebben ze volgens mij zelfs een prijs voor gewonnen.
mjtdevries
@Luc4519 februari 2021 13:07
De echt goede verhalen krijg je al helemaal niet te horen. Namelijk wanneer goede voorzorgsmaatregelen een hack volledig hebben voorkomen.
Gomez12
19 februari 2021 12:52
Ik vind het altijd zo tegenstrijdig, men heeft het over 'professionele hackers' maar die worden gevonden door hun sporen en de gebieden waar geen sporen gevonden worden daar zijn ze dan dus maar niet geweest. Klinkt wmb niet echt professioneel in de oren, een professionele hacker verwacht ik ook van dat die zijn sporen kan uitwissen.

Maarja het staat aan de andere kant ook zo knullig om te moeten berichten dat het 7-jarige zoontje van een leraar de boel gehacked heeft met een script wat hij van een vriendje per mail kreeg toegestuurd. En dat het 7-jarige zoontje zich van geen kwaad bewust was.
Ubartu
@Gomez1219 februari 2021 13:42
Elke actie die iemand uitvoert bij het inloggen en gebruik maken van een account worden gelogd. Zo ook wanneer je een actie uitvoert op bijvoorbeeld OneDrive of een sharepoint site opent. Zo'n log houdt jouw provider (in dit geval Microsoft) bij en daar heb jij, ook als global admin, alleen leesrechten voor. Tenzij je Microsoft zelf weet te hacken kun je die sporen echt niet wissen.
sfc1971
@Ubartu19 februari 2021 15:42
Was microsoft niet gehackt? nieuws: Microsoft en veertig klanten zijn getroffen door SolarWinds-hack

Zo moeilijk is het dus ook weer niet.
Brousant
@Gomez1219 februari 2021 14:57
"een professionele hacker verwacht ik ook van dat die zijn sporen kan uitwissen."

In principe is een professionele hacker iemand die hackt om zijn brood ermee te verdienen.
Dat mensen die iets voor hun werk doen in plaats van als hobby daar doorgaans meer in bedreven zijn, betekent nog niet dat dat altijd zo is.
Pinkys Brain
@Gomez1219 februari 2021 17:06
Het niet zo moeilijk om centraal een one-way logging systeem op te zetten waar je zonder physieke toegang geen logs kan wissen.

Kleine moeite, maar bijna niemand doet het dus daar zal wel een goede reden voor zijn. /s
conces
19 februari 2021 12:30
Ooit (5 jaar geleden o.i.d.) heb ik twee cursussen gevolgd "Ethical-Hacking" en "Computer-Hacking-Forensic-Investigator". Tijdens die cursussen krijg je mee wat er mogelijk is en hoe secuur je te werk moet gaan. Ik had 4 DVD's aan tooling die gebruikt kunnen worden bij het hacken en opsporen van hacks. Dat zal allemaal ondertussen nu gedateerd zijn, maar de techniek staat niet stil. En hoewel het heel interessant en leuk was, vond ik de mate van geduld die je moest opbrengen en de kennis van verschillende tooling die je moest gebruiken niet echt mijn pakkie aan.
BastiaanCM
19 februari 2021 13:02
Tsja is dat een verrassing ? Keer op keer wordt er (veel) losgeld betaald om bijv alle gegijzelde bestanden weer te unlocken. Dan kan het geen verrassing zijn dat het aantal pogingen ook hard stijgt en een industrie wordt.
Jasper_S1985
19 februari 2021 12:33
Ik las dit verkeerd en nu denk ik dat er een 'hackers hogeschool' is.... :D
Keypunchie
@Jasper_S198519 februari 2021 12:51
Ik stond op hetzelfde verkeerde been.

Ik las de kop ook alsof er twee instanties waren, de "Hackers Hogeschool" (wat ze allemaal wel niet bedenken tegenwoordig) en de "UvA", en dat die allebei op financieel gewin uit waren.
AvV
@Keypunchie19 februari 2021 13:47
Precies ook mijn gedachten, nieuwskoppen kunnen soms de gekste betekenis krijgen.
killercow
@Jasper_S198519 februari 2021 15:06
UVA heeft een erg goede Hacker-opleiding waar geregeld erg zinnig onderzoek wordt verricht door mensen die ook hier op tweakers rondhangen.
j4ck1nth3b0x
19 februari 2021 12:47
"Uit sporen die achtergelaten zijn, zou blijken dat het om professionele hackers gaat. "
Niet erg professioneel om sporen achter te laten dunkt mij...
oak3
@j4ck1nth3b0x19 februari 2021 12:52
Het is bijna onmogelijk om geen sporen achter te laten. De professionaliteit zal veel meer in de gebruikte tools zitten. Daarnaast is het achterlaten van sporen niet echt een probleem zolang het maar niet te herleiden is naar jou. Zeer waarschijnlijk dat deze aanvallers VPN's en shady hosters gebruiken en betalen met bitcoin om geen herleidbare sporen achter te laten.
mjtdevries
@j4ck1nth3b0x19 februari 2021 13:06
Professioneel betekent niets anders dan dat je er je geld mee verdient. Niet perse dat je ook goed bent in wat je doet.

En volgens mij heeft nog nooit in de geschiedenis iemand een persbericht de deur uit gedaan dat ze zijn gehacked door een amateur :)
RogerDad
@j4ck1nth3b0x21 februari 2021 10:41
De “treat actors” die hiermee bezig zijn vinden het niet erg als achteraf de gebruikte infra en methodes naar hen te leiden is. Ze zijn eenvoudigweg bezig met zoveel mogelijk geld verdienen. De IoC’s (Indicators of Compromise) veranderen heel snel, maar omdat zo’n actor meestal wel dagen/weken en soms maanden in je netwerk zit voordat ze de ransomware activeren, heeft het zeker zin om daarop te monitoren.
Bij statelijke actoren zit dat anders in elkaar, daar wordt wel erg veel geïnvesteerd zodat de aanval niet naar het land kan worden herleid. En soms worden juist weer valse sporen geplant die expres naar een ander land wijzen. Maar dat soort hacks zijn ook veel moeilijker te detecteren omdat ze er alles aan doen om niet ontdekt te worden en er andere doelen zijn dan geld van net slachtoffer los te krijgen.
qlum
20 februari 2021 09:59
Zou het niet helpen om in dit soort gevallen het betalen van losgeld strafbaar te maken? Op dat moment zou het een stuk minder interesant zijn om in nederland dit soort hacks te doen. Gezien veel instanties dan veel minder bereid zijn om te betalen.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee