• Praktijkvoorbeeld
• |
• Informatiebeveiliging en privacy
• |
• po
• vo
• mbo

'Hackers met een helpdesk'

Toen een cyberattack de Universiteit Maastricht lamlegde, ging er een schok door het Nederlandse onderwijs. Bart van den Heuvel was als inhoudsdeskundige lid van het crisisteam. “Als ik vertel: ‘We werden aangevallen door een criminele organisatie’, dan raakt me dat nog steeds.” Van den Heuvel is nu gepensioneerd maar op OnderwijsInzicht Focus vertelt hij nog één keer over de gebeurtenissen in de winter van 2019/2020.

Door de redactie

20 juni 2024

5 minuten lezen

“Het begon met een phishingmail”, vertelt Bart van den Heuvel. “Dat was een onschuldig ogend mailtje, dat over een planning leek te gaan. Die mail werd als een schot hagel op medewerkers afgevuurd; er is altijd wel iemand die erin trapt.” Het is alweer een paar jaar geleden dat de Universiteit Maastricht slachtoffer werd van de grote ransomware-aanval, maar de toenmalige security officer vertelt erover alsof het gisteren was. Als lid van het crisisteam is hij altijd open geweest over de gebeurtenissen. “Als andere universiteiten die ook, maar minder heftig getroffen waren, ons hadden laten weten wat er rondging, dan was dit bij ons waarschijnlijk niet gebeurd.”

267 servers plat

Maar het gebeurde wel. Via een klik op die phishingmail wurmden hackers zich met de beruchte Clop-ransomware diep in het netwerk van de universiteit. Twee maanden lang bleven ze onder de radar en verkenden ze zoveel mogelijk servers en schijven. Bart van den Heuvel: “Ze gebruikten daar tooltjes voor die we zelf ook gebruiken; daardoor konden ze ongezien hun gang gaan. Tot ze in december genoeg hadden kunnen doen.” Vlak voor de kerst barstte de bom: 267 Windows-servers waren plotsklaps onbereikbaar. E-mailen kon niet meer. Ondersteunende diensten vielen uit, waardoor onderwijs- en onderzoeksprocessen haperden. Er kwam er een tentamenperiode aan en de inschrijfperiode voor buitenlandse studenten zou bijna starten. Al dat soort processen lagen plat. Back-ups waren onbereikbaar. “Gaandeweg ontdekten we hoe ingewikkeld onze infrastructuur was en hoeveel systemen we hadden draaien”, vertelt Bart van den Heuvel. “Die eerste uren en dagen was het steeds: o, nee, dit deel werkt nu óók niet meer.”

Unix onaangetast

Gelukkig waren niet alle servers geraakt en kon de UM al vrij snel de centrale webserver weer veilig bereikbaar maken. “Die webserver had niet Microsoft maar Unix als besturingssysteem, dus die was niet getroffen. We organiseerden een alternatieve manier om te e-mailen en konden zo met onze medewerkers en studenten communiceren. Ook hadden we twee terabyte aan onderzoeksdata die ze hadden kunnen versleutelen, dat hebben ze niet gedaan.”

Strakkere monitoring voorkomt herhaling

Het wrange was: de universiteit stond op het punt om naar een veel hoger beveiligingsniveau over te gaan. “We gingen starten met een Security Operations Center, het UM-SOC. Een paar medewerkers zouden nog wat oude taken afronden en dan konden we over.” Ondertussen is er een landelijk Security Operations Center opgericht dat 24/7 waakt over de cybersecurity van bijna het hele hoger onderwijs. Ook draait de Universiteit Maastricht tegenwoordig extra back-ups, offline en in de cloud. Dat ze nu weerbaarder zijn, is ondertussen al gebleken. Van den Heuvel: “Het is na de hack nóg een keer gebeurd, dat iemand een geïnfecteerde macro naar binnen haalde. Maar dankzij de strakke monitoring kregen we binnen tien minuten een melding van het Security Operations Center. Binnen een halfuur hadden we de situatie onder controle.”

Losgeld om de bestanden te ontsleutelen

Zo makkelijk ging het niet met de grote hack uit 2019/2020. Uiteindelijk betaalde de universiteit 30 bitcoins aan de hackers. “Mijn dochter moest me vertellen hoeveel dat was: zo’n 200.000 euro.” Maandenlang geen tentamens, zo’n 22.000 studenten die studievertraging zouden oplopen, geen inschrijvingen, geen salarisbetalingen: dat was uiteindelijk voor het College van Bestuur geen optie. Kleine meevaller: een van de witwassers van de bitcoins liep tegen de lamp. Vier bitcoins kwamen terug bij de universiteit, die het geld toekende aan een noodfonds voor studenten.

Hackers hadden zelfs een helpdesk, waarmee we contact konden opnemen als we problemen met het ontsleutelen zouden ondervinden!

Businessmodel van hackers

Maar hoe is dat, zakendoen met criminelen? “Het zijn natuurlijk onbetrouwbare sujetten, maar ze hebben wel een businessmodel. Als ze de gegijzelde bestanden na betaling van het losgeld niet zouden vrijgeven, dan trapt niemand er meer in natuurlijk. We stelden de hackers bij wijze van checks & balances vooraf wat technische vragen om te testen of ze genoeg kennis hadden. Dat bleek het geval. Ze hadden zelfs een helpdesk, waarmee we contact konden opnemen als we problemen met het ontsleutelen zouden ondervinden!” De UM-technici ontdekten inderdaad een fout in de herstelsoftware – een slordigheidje dat ze zelf konden oplossen. “Het was hun eer te na om daarvoor bij de hackers aan te kloppen.”

Wekenlang onder hoogspanning

Een heftige periode dus. Bart van den Heuvel: “Tijdens het kerstdiner zat ik tussen de soep en het hoofdgerecht in een videoconferentie, terwijl er dertig man familie beneden zat. Honderden mensen hebben wekenlang overgewerkt. Een crisis oplossen geeft een kick, maar in die crisis zitten is niet leuk. Je staat onder hoogspanning. Als ik vertel: ‘We werden aangevallen door een criminele organisatie’, dan raakt me dat nog steeds.”

Gelukkig bleven beschuldigende vingers uit. “Er waren geen zondebokken. Niet degene die op de link klikte, niet onze techneuten, niet het bestuur. De reacties op ons handelen waren neutraal tot positief. We kregen zelfs vanuit de Verenigde Staten complimenten over de manier waarop we hebben gecommuniceerd. Hoe je het ook wendt of keert, je blijft slachtoffer. Wij waren niet schuldig; criminelen moeten niet inbreken. Dat is wel belangrijk om voor ogen te houden.”