HvA en UvA: cyberaanval is afgeslagen en heeft niet geleid tot vraag om losgeld

De Hogeschool en Universiteit van Amsterdam zeggen dat de cyberaanval van vorige maand op tijd is opgemerkt en dat die daardoor niet tot een gijzeling van data of een verzoek om losgeld heeft geleid. Volgens de instellingen zijn alle systemen nu opgeschoond.

Volgens de UvA en HvA werd de aanval in een vroeg stadium opgemerkt door het Security Operations Centre en zijn er snel maatregelen genomen. De hackers hebben volgens de onderwijsinstellingen in korte tijd meer dan 50 van de ruim 1000 servers geïnfecteerd en voorzien van mogelijkheden om die op een later moment te versleutelen.

Die versleuteling heeft echter niet plaatsgevonden en het SOC heeft de systemen op tijd opgeschoond en uitgebreid onderzocht. De onderwijsinstellingen zeggen daarmee de cyberaanval afgeslagen te hebben, omdat die niet heeft geleid tot uitval van systemen, gijzeling of een verzoek om losgeld.

Het College van Bestuur van de HvA zegt dat het belangrijk is om lessen te leren uit de aanval en te blijven investeren in goede informatiebeveiliging. 'Dat zullen we de komende tijd dan ook zeker doen', aldus vicevoorzitter Hanneke Reuling.

De UvA en HvA hebben aangifte gedaan bij de politie en het onderzoek loopt. Volgens de onderwijsinstellingen zijn er vooralsnog geen aanwijzingen dat de aanvallers uit waren op persoonlijke gegevens. De hackers hebben wel toegang gehad tot systemen waar versleutelde wachtwoorden op staan. Daarom is uit voorzorg verzocht aan gebruikers hun wachtwoord te wijzigen. Ook is er melding gemaakt bij de Autoriteit Persoonsgegevens.

In de komende weken volgt een uitgebreide evaluatie en waar nodig komen er aanvullende onderzoeken, aldus de HvA en UvA. De instanties zeggen de 'geleerde lessen en aanbevelingen' na afronding van het onderzoek publiekelijk te delen.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 10-03-2021 14:0013

10-03-2021 • 14:00

13 Linkedin

Lees meer

Hacker zet persoonsgegevens waaronder plaintextwachtwoorden HAN online Nieuws van 7 september 2021
Hogeschool van Arnhem en Nijmegen meldt datalek met persoonsgegevens - update 2 Nieuws van 3 september 2021
Gegevens van miljoenen Nederlandse autobezitters zijn te koop op forum Nieuws van 25 maart 2021
HvA en UvA: aanvallers hebben versleutelde wachtwoorden gestolen Nieuws van 23 februari 2021
Hackers Hogeschool en Universiteit Amsterdam zijn uit op 'financieel gewin' Nieuws van 19 februari 2021
Hogeschool en Universiteit van Amsterdam zijn getroffen door cyberaanval Nieuws van 17 februari 2021
Meer producten en artikelen
Networking en security Hack Nederland UvA

Reacties (13)

-Moderatie-faq
13
13
11
1
0
1
Wijzig sortering
Orangelights23
10 maart 2021 14:06
Mooi nieuws dat ze de aanval afgeslagen hebben!

Wat mij wel zorgen baart is dat ze zeggen dat er geen systemen gegijzeld zijn, en dat daarom de aanval is afgeslagen. Dat klinkt iets wat een jaar of 10 geleden zo was, maar inmiddels zijn kwaadwillenden zo geavanceerd dat dit ook een stukje vooronderzoek kon zijn, of dat systemen nog steeds besmet zijn maar de SOC dit nog niet heeft gevonden. Steeds meer van dit type hacks werken met een incubatietijd, waarbij lowkeys software, dus malware draait en alleen gevonden wordt door forensisch onderzoek. Een gemiddelde SOC voert dat soort onderzoek niet uit en externen zijn dan vaak te duur. Hopelijk krijgt dit dus geen staartje.
Tomvl117
@Orangelights2310 maart 2021 14:31
Volgens het artikel:
De hackers hebben volgens de onderwijsinstellingen in korte tijd meer dan 50 van de ruim 1000 servers geïnfecteerd en voorzien van mogelijkheden om die op een later moment te versleutelen.
Duidt dat dan niet aan dat er juist malafide software is gevonden in de door jou genoemde incubatietijd? Zoals je schrijft draait er in die incubatietijd wat software die de bestanden op de één of andere manier moet aanpassen om ze vervolgens later "plots" te laten versleutelen. Zoals het beschreven staat in het artikel lijkt me dat dat precies is wat hier is gevonden en is teruggedraaid. Waarschijnlijk zullen de SOC medewerkers dan ook de methode kunnen hebben achterhaald waarmee de malware heeft kunnen opereren, maar dat zullen we dan allemaal zien wanneer hun onderzoek publiek wordt gemaakt.

Edit: Wat ik dus wil zeggen is dat het misschien een beetje kortzichtig is om nu al te zeggen dat ze waarschijnlijk het probleem niet hebben kunnen afslaan, omdat de "gemiddelde SOC" naar jouw inzien niet bekwaam genoeg is.

[Reactie gewijzigd door Tomvl117 op 10 maart 2021 14:33]

Orangelights23
@Tomvl11711 maart 2021 10:11
Zeker niet kortzichtig, dit is wat ik vele malen wat ik heb meegemaakt tijdens mijn werk al cybersecurity consultant. Het stukje forensics wordt vaak vergeten en juist dat is één van de belangrijkere zaken in remediation van incidenten.
Annihlator
@Tomvl11710 maart 2021 14:48
Ik vraag me af hoe je het volgende stuk juist moet interpreteren: "Die versleuteling heeft echter niet plaatsgevonden en het SOC heeft de systemen op tijd opgeschoond en uitgebreid onderzocht."

Mogen we hieruit afleiden dat de systemen letterlijk enkel opgeschoond zijn waar wat gevonden is (semantisch gezien is dit wat geïmpliceerd wordt) of betreft het hier ook preventieve herinrichting/herinstallatie? Ik vrees zelf dat het expliciet eerder het eerste betreft dan het tweede, ik durf aan te nemen dat GuitarHero diezelfde vrees deelt en zodoende een (nog) ongedetecteerd iets later een staartje kan geven.

Niet om te stellen dat het eenvoudig of niet tijdrovend zou zijn om dat soort maatregelen preventief te nemen, maar tegelijkertijd biedt het een ruime gelegenheid om de SOC's met een kluitje het riet in te sturen middels "makkelijker te vinden" tekenen/malware, waardoor vervolgens na de incubatietijd pas een moeilijker-te-detecteren vorm van infectie plaats zou kunnen vinden.

Wat is "genoeg"?
beerse
@Annihlator10 maart 2021 16:14
Soms moet je de tekst misschien wel letterlijk nemen. Soms moet je beseffen dat communicatie naar het publiek ook politiek gekleurd is.

Omdat dit niet de eerste aanval is op een onderwijs instelling (ik herinner mij een issue in Maastricht) ga ik er voor het gemak van uit dat deze onderwijs instellingen zeker wel leren van het verleden en dat het nu mooi is dat ze de inbreker op heterdaad hebben betrapt, ruim voor de versleuteling.

Over het schonen zal de toekomst leren of het 'er vanaf gooien van de zooi' genoeg is of dat er in voorkomende gevallen een schone herinstallatie beter had geweest.

Uit eindelijk zal blijken wat genoeg is. Er zijn veel zaken die je niet moet overdrijven. Er zijn tegenwoordig niet veel mensen meer die een nieuwe auto kopen als er een vlekje op zit, de asbak vol of de benzinetank leeg is. Auto wassen, asbak legen en benzine tanken zorgen er ook voor dat je weer verder kan.
dez11de
@Annihlator10 maart 2021 16:44
Als de hackers in staat zijn om dingen te verstoppen waarom zouden ze dan niet alles verstoppen?
CAPSLOCK2000
@Orangelights2310 maart 2021 14:32
maar inmiddels zijn kwaadwillenden zo geavanceerd dat dit ook een stukje vooronderzoek kon zijn, of dat systemen nog steeds besmet zijn maar de SOC dit nog niet heeft gevonden. Steeds meer van dit type hacks werken met een incubatietijd, waarbij lowkeys software, dus malware draait en alleen gevonden wordt door forensisch onderzoek. Een gemiddelde SOC voert dat soort onderzoek niet uit en externen zijn dan vaak te duur.
Het is een lastig punt, hoe lang moet je doorzoeken? Je zal nooit zeker weten dat er niks is, alleen maar dat je nog niks gevonden hebt. Aangezien dit soort besmettingen steeds vaker voorkomen kun je je ook afvragen of doorzoeken nog zin heeft. Als je een week zoekt dan is de kans groot dat er in die tijd een andere aanval plaatsvindt op systemen waarvan je net had vastgesteld dat ze schoon waren. Als er dan ook nog een lange incubatietijd bovenop komt dan zegt het helemaal niks meer.
Je kan er dus maar beter van uit gaan dat de helft van je systemen al gehacked zijn en dat je de rest veilig moet zien te houden zonder dat je weet welke systemen veilig zijn en niet. Verder kun je niet meer dan handelen naar wat je wel ziet.
kodak
@Orangelights2310 maart 2021 16:56
Een aanval afslaan is aan de andere kant niet altijd hetzelfde als verder niets meer doen.

Meestal ligt een netwerk continue onder aanval van buiten maar ook van wat ooit binnen is gekomen en zoekt de verdediging dan naar een bepaalde situatie van controle. Ik vermoed dat ze dus rekening houden met mogelijke gevolgen maar dan onder meer geaccepteerde onstandigheden die ze geen aanval noemen.
riotrick
@Orangelights2311 maart 2021 09:48
Het is in ieder geval al een groot pluspunt dat het gedetecteerd is. Dat is bij vele andere voorbeelden al niet gebeurd.
Flamesz
10 maart 2021 14:04
Ben benieuwd of ze nog uit de doeken doen hoe dit gebeurt is en hoe ze het hebben kunnen tegenhouden. Vast een goede les voor andere bedrijven en waarschijnlijk een interessant verhaal.
A. Ben
@Flamesz10 maart 2021 14:20
De instanties zeggen de 'geleerde lessen en aanbevelingen' na afronding van het onderzoek publiekelijk te delen.
nst6ldr
@Flamesz10 maart 2021 18:59
Ze hebben de aanval niet tegengehouden in de zin dat er geen breach was. Je leest dat er een breach geweest waarbij de aanvaller de ransomware heeft geplaatst, maar de recovery gewoon goed in orde was. Wederom blijkt: een ongeteste backup is geen backup. Mogelijk dat de docenten van cybersecurity inspraak hebben gehad in de opzet van de faciliteiten? Ik heb les van ze mogen hebben en allebei hebben ze wel goede credentials (werkzaam geweest bij NCSC e.d.).

De HvA heeft bij mij in ieder geval een paar punten respect bijgekregen :)
ajolla
@nst6ldr12 maart 2021 02:42
Ja, goed nieuws dat enkele instanties nu eindelijk eens hun zaken op orde lijken te hebben. Een deel van de vermeden rasom uitgaven mogen wel bij het budget van het SOC worden opgeteld.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee