Lessen uit de ransomwareaanval bij UM (Ook voor het MKB!)

Connections
06 februari 2020

Op woensdag 5 februari 2020 heeft Universiteit Maastricht een symposium georganiseerd waar men een toelichting heeft gegeven op de ransomwareaanval die in december 2019 heeft plaatsgevonden. Met als doel de lessen die getrokken kunnen worden te delen. Hoe mooi is het als een organisatie over zijn eigen schaduw heen stapt. Het is nu aan u wat u er mee doet.

Hackingproces
Om te begrijpen wat er gebeurde, is het goed om kort stil te staan bij het proces dat de hacker heeft doorlopen:


Impact
De hacker had volledige toegang tot een groot deel van het netwerk. Hierdoor zijn in totaal 267 servers versleuteld. Het geëiste losgeld bedroeg €197.000,= wat ook door de universiteit is betaald.


Wat ging er fout?

Zoals je zo vaak ziet, gaat het in het geval van crisissituaties niet op één punt fout. Vooral na het maken van de eerste fout worden vaak cruciale beslissingen genomen die het verschil kunnen maken. Zo zijn er ook in dit geval op meerdere momenten belangrijke signalen gemist en verkeerde beslissingen genomen.

1. Melding van de phishingmail is niet goed opgepakt
Totaal zijn er twee mensen die een phishingmail hebben gemeld bij de servicedesk. De eerste melding werd goed opgevolgd. Bij de tweede melding is het mailtje onterecht als "zelfde melding" aangemerkt en doorgelaten.

2. Niet alle systemen waren up-to-date
De universiteit heeft zo'n 650 servers en 8000 werkplekken. Op ongeveer 5 à 6 servers waren niet alle beveiligingsupdates doorgevoerd. Precies één van de servers die niet up-to-date was, is door de hacker gebruikt voor de uitrol van de ransomware.

3. Detectie functioneerde niet
Op 19 december is er door het antivirussysteem een melding geweest dat een systeem besmet was. Dit was naar aanleiding van een actie van de hacker. Aangezien het systeem het virus zelf netjes had opgeschoond, zijn de alarmbellen niet afgegaan. Aangezien de hacker volledige toegang tot het systeem had, heeft deze de antivirussoftware verwijderd en de hacking-tool alsnog op het systeem gezet.

4. Backupstrategie voldeed niet
Ook de backups zijn getroffen door de ransomware aanval. De oorzaak hiervan was dat er voornamelijk gebruik werd gemaakt van zogenaamde "online-backups". Dit zijn backups die vanuit het netwerk benaderbaar zijn. Hierdoor was de hacker in staat om ook de backups te versleutelen.

Lessons learnt (aanbevelingen)

Fox-IT, de organisatie die Universiteit Maastricht heeft geholpen met het bestrijden van het incident, heeft verschillende aanbevelingen gedaan aan Universiteit Maastricht. Ook voor het MKB (en haar ICT-dienstverleners) zitten er waardevolle tips in. Misschien zijn het niet hele nieuwe dingen. Aan de andere kant blijkt wel dat het absoluut niet vanzelfsprekend is dat het beveiligingsniveau goed is afgestemd op organisaties.

Detectie

Het detecteren van cybersecurityincidenten kwam als eerste naar voren. Voor grote organisaties wordt vaak een zogenaamd Security Operations Center (SOC) ingericht. Hier wordt 7x24 uur gemonitord op cybersecurityincidenten. Voor het MKB is dit in de meeste situaties een niet binnen handbereik liggende oplossing, al kan dit voor iedere organisatie anders zijn. Dat neemt overigens niet weg dat kleinere organisaties niets kunnen of hoeven doen. Want veel cybersecurityincidenten kunnen ook al door standaard systeemmonitoring en antivirusoplossingen worden gedetecteerd. Wel is het van belang dat op meldingen goed wordt geacteerd. Iets wat in het geval van de Universiteit Maastricht niet even goed ging.

"Als het virus is verwijderd, begint de vraagstelling en het onderzoek pas!"

1. Zorg ervoor dat uw systemen altijd up-to-date zijn
De ketting is zo sterk als de zwakste schakel. Wanneer de meeste systemen up-to-date zijn, is dit niet voldoende. Ook in dit voorbeeld zien we dat slechts 5 à 6 van de 650 servers (= minder dan 1%!) niet helemaal up-to-date waren. Precies deze servers werden misbruikt.

2. Offline backups
Zorg er voor dat naast de zogenaamde "online backups" ook "offline backups" gemaakt worden. Dit zijn backups die na het backupproces worden losgekoppeld van het systeem en niet via systemen in het netwerk bereikbaar zijn. Een voorbeeld hiervan zijn de traditionele tape-backups die na het maken van de backup automatisch kunnen worden uitgeworpen. Ook kunnen hier externe harde schijven voor worden gebruikt.

Lees ook een recent artikel wat ik schreef over de gouden 3-2-1 backupregel.

4. Breng verschillende beveiligingsniveaus aan
Door verschillende beveiligingsniveaus of -levels aan te brengen in systemen en netwerken, kan je de schade beperken. Dit wordt ook wel "segmenteren" genoemd. Ook is het aan te bevelen om onderscheid aan te brengen in met welke "sleutel" je toegang kan krijgen tot welk systeem. Krijgt een hacker onverhoopt een sleutel in handen, dan kan hij maar bij beperkte systemen komen.

5. Oefenen
Organisaties doen er goed aan om te oefenen hoe met cybersecurityincidenten om te gaan. Dit zou terugkerend op de agenda moeten staan, zodat bij een echt incident de organisatie weet hoe ze moet acteren.

Betaling van losgeld

Met regelmaat hoor je mensen uitspraken doen dat je nooit moet betalen wanneer je wordt getroffen door ransomware. Dat is echter vaak makkelijker gezegd dan gedaan. Zoals tijdens het symposium werd aangegeven, doen organisaties er goed aan om zelf de vraag te stellen in welke situatie je mogelijk toch losgeld zou betalen. Er is bijna altijd wel een reden te verzinnen waardoor organisaties geen andere optie hebben dan te betalen. Zeker gezien het feit dat Universiteit Maastricht een door de overheid gefinancierde organisatie is, was het extra pijnlijk dat ze uiteindelijk de beslissing hebben moeten nemen om te betalen.

Mocht u het symposium zelf online terug willen kijken, is dit mogelijk via YouTube. Ook het rapport wat is opgesteld door Fox-IT wordt via de website van Universiteit Maastricht beschikbaar gesteld.


Neem contact met ons op

Het begint met een goed advies!

Heeft u vragen op het gebied van ICT? Of specifiek over cybersecurity? Ik, Rijk Prosman, help u graag verder!

Bezoek ons

De nieuwsbrief ontvangen?

Meld u dan aan voor onze maandelijkse nieuwsbrief en blijft op de hoogte van het ICT-nieuws!

{{ errors.first("field_24") }}
{{ errors.first("field_25") }}
{{ errors.first("privacy") }}
Connections