‘De NWO deelt jaarlijks 1 miljard uit, dus hackers weten dat daar geld zit’
De UvA en de HvA waren de afgelopen anderhalve week doelwit van een professionele cyberaanval. Ook de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) werd deze maand gehackt. Is dat toeval? En waarom kiezen hackers graag zulke instellingen als doelwit? We vroegen het TU Delft-docent Rolf van Wegberg, gespecialiseerd in cybercrime governance.
Bij de UvA zouden de hackers zijn tegengehouden voordat ze om losgeld konden vragen, zo meldt de universiteit. Hoe zit dat?
‘Het merendeel van de UvA-systemen werkt nog. Waarschijnlijk zijn de hackers maar in één systeem binnengedrongen, bijvoorbeeld het systeem van de universiteitsbibliotheek, en zijn ze toen gesignaleerd – ze zijn niet ver gekomen. De UvA heeft de hackers vermoedelijk gedetecteerd terwijl ze het systeem nog aan het verkennen waren. Dat noemen we anomaliedetectie: het signaleren van ongebruikelijke zaken, zoals verbindingen die gemaakt worden vanaf onbekende ip-adressen of grote hoeveelheden data die op vreemde tijdstippen worden weggesluisd. Het ziet ernaar uit dat de digitale alarmbellen van de UvA goed hebben gewerkt.’
Eind 2019 werd de Universiteit Maastricht getroffen door een cyberaanval. Hackers wisten zogenoemde ‘gijzelsoftware’, ook wel ransomware genoemd, te installeren op de servers van de universiteit. Daardoor werd die informatie ontoegankelijk voor medewerkers en studenten van de universiteit. Het onderwijs moest meerdere weken worden stilgelegd. Pas nadat de universiteit, in weerwil van adviezen van het Ministerie van Onderwijs, Cultuur & Wetenschap, bijna twee ton losgeld aan de hackers betaalde, kon de universiteit weer bij haar data.
De universiteit is nu al zo’n anderhalve week druk met de aanval. Waarom is dat, denkt u, als de hackers niet ver zijn gekomen?
‘Ik denk dat ze in systemen zoeken naar sporen van “braak”. Dat duurt even, want er zijn een boel systemen en een systeem heeft tien- tot honderdduizenden regels aan computercode. Criminelen bouwen soms achterdeurtjes in code zodat ze over een half jaar gemakkelijk kunnen terugkomen. Ze maken bijvoorbeeld een gebruikersaccount dat alle rechten heeft. Zulke achterdeurtjes moeten gevonden worden, anders ben je kwetsbaar.’
Hoe dringen professionele hackers eigenlijk een systeem binnen?
‘Universiteiten werken met honderden ict-systemen waarvan sommige al enkele decennia bestaan. Met zo’n netwerk is het ingewikkeld om alles honderd procent op orde te krijgen – volledige veiligheid bestaat sowieso niet. Oude en nieuwere systemen zitten soms met plakband aan elkaar en kunnen kwetsbaarheden bevatten. En dan is er nog het menselijke aspect: bij de NWO-aanval werden waarschijnlijk phishingmails naar werknemers gestuurd en toen één persoon op de verkeerde link klikte konden hackers zo het netwerk van NWO binnenwandelen. De vraag is: kunnen hackers die één systeem binnenkomen vervolgens de hele instelling overnemen? Hoe ver kom je in het gebouw als je voordeur een kwetsbaarheid heeft?’
Hackers plaatsen vaker ransomware bij universiteiten of bijvoorbeeld bij ziekenhuizen. Deze maand was ook de NWO slachtoffer. Waarom kiezen hackers deze instellingen als doelwit?
‘Enerzijds kijken hackers naar organisaties die mogelijk kwetsbaar zijn wegens suboptimale beveiliging. Anderzijds kijken ze naar willingness to pay: ze kiezen organisaties met een sterke prikkel om te betalen, bijvoorbeeld omdat zorg anders niet kan doorgaan of omdat een heleboel mensen anders niet kunnen werken. Door wat in Maastricht gebeurde weten hackers dat er betaald wordt: die universiteit maakte 197.000 euro over. Een organisatie als de NWO deelt jaarlijks 1 miljard uit, dat kun je zo opzoeken, dus hackers weten dat daar geld zit. Bedrijven zijn overigens net zo vaak slachtoffer van cyberaanvallen, dat is vrij normaal, maar uit angst voor reputatieschade lopen ze er niet mee te koop. Er bestaan zelfs cyberverzekeringen die het losgeld dekken bij een aanval en die je niet verplichten om achteraf aangifte te doen bij de politie.’
De aanvallen op de NWO en de UvA en HvA vonden allemaal plaats binnen dezelfde maand. Is dat toeval?
‘Dat kan. Het verschil tussen de aanvallen is dat de hackers bij de NWO erin slaagden om bestanden weg te sluizen die nu mondjesmaat naar buiten worden gebracht op het dark web. Ze hebben de NWO-servers gegijzeld totdat losgeld wordt betaald. Bij de UvA en HvA is dat niet gebeurd, dat kan zijn omdat de ict-afdelingen de hackers op tijd hebben gedetecteerd, maar het kan ook zijn dat het om een andere groep ging met een ander doel. Misschien ging het de UvA-hackers niet zozeer om losgeld en afpersing, maar om het verkrijgen van gebruikersnamen en wachtwoorden, met de verkoop daarvan is ook geld te verdienen. In het algemeen kun je zeggen dat op elk willekeurig moment meerdere hackersgroepen naast elkaar bestaan die op professionele schaal ransomware-aanvallen plegen. Ze werken in “campagnes” waarbij ze zich focussen op een land of op ziekenhuizen bijvoorbeeld. Net als bij een gewoon bedrijf draait het om efficiëntie: als je investeert in kennis van een land of sector wil je dat uitbuiten.’
De NWO bracht naar buiten om welke hackersgroep het ging: Doppelpaymer. Hoe kwamen ze erachter welke groep heeft gehackt?
‘Elke groep hackers heeft een signatuur en een modus operandi, een manier waarop boeven te werk gaan. Blijkbaar vertoonde deze aanval sporen van de signatuur van hackersgroep Doppelpaymer. Wellicht heeft de NWO hulp ingeschakeld van een cybersecuritybedrijf. Professionals kunnen aan de manier van werken en aan de afzender vaak zien om welke groep het gaat. Het is moeilijk om de precieze identiteit van hackers te achterhalen. Je kunt zeggen dat ze uit Rusland komen omdat ze Russische toetsenborden gebruiken, maar ik kan zelf net zo goed een Russisch toetsenbord gebruiken.’
De NWO zegt niet te willen betalen. Ook de politie riep vorig jaar op om geen losgeld te betalen bij een ransomware-aanval. Is dat de manier om dit soort criminaliteit te stoppen?
‘Als je afspreekt dat niemand betaalt, is deze vorm van criminaliteit zo uitgeroeid. Het is dan niet aantrekkelijk voor hackers om daar nog tijd in te steken. Het probleem is dat er altijd mensen zijn die betalen. Hackers hebben geleerd van de laatste vijf, zes jaar. Ze startten met ransomware-aanvallen bij particulieren, dan vroegen ze zo’n 300 euro, een lage drempel om te betalen. Dat haalde weinig uit: als je rapporten van beveiligingsbedrijven mag geloven betaalde uiteindelijk 3 procent van de slachtoffers. Intussen zijn hackgroepen geprofessionaliseerd en hebben ze grotere doelwitten. De hackers “helpen” bedrijven ook om te zien waar kwetsbaarheden in hun ict-systemen zitten. In Maastricht hebben ze de afweging gemaakt: gaan we niets betalen, de boel zelf herstellen en onze beveiliging opschroeven, of gaan we betalen, onze systemen terugkrijgen en de informatie die we door de aanval kregen gebruiken om onze systemen te verbeteren? Ze hebben gekozen voor het tweede. Omdat het een zakelijke afweging is, valt het kwartje vaak de kant op van de criminelen.
Ik vind het punt van de NWO overigens erg interessant. Ze zeggen “als onderdeel van Rijksoverheid op principiële gronden niet in te gaan” op eisen van de hackers. Maar wat als gegevens van medewerkers op straat komen te liggen – huisadressen, verslagen van functioneringsgesprekken? Het lijkt nu alsof die beleidsmatige principes prevaleren boven privacy. Dat is een afweging die je moet maken.’
Wat kunnen instellingen doen om zulke aanvallen te voorkomen?
‘Technisch kun je je voorbereiden door kwetsbaarheden in systemen na te gaan. Zorg je ervoor dat je netwerk zo is ingericht dat het hele gebouw bereikbaar is als er ergens een raampje openstaat? Het is ook belangrijk om te denken aan basisregels zoals het updaten van software. Dat gebeurt lang niet altijd: in ziekenhuizen worden apparaten gebruikt met software die niet wordt geüpdatet omdat apparaten dan opnieuw gecertificeerd moeten worden. Op de tweede dinsdag van de maand komt Microsoft altijd met updates en de dag erna wordt door cybercriminelen de reverse engineering-woensdag genoemd: dan proberen ze aan de hand van updates te ontrafelen waar kwetsbaarheden in het systeem zaten. Natuurlijk kun je medewerkers en studenten ook trainen in het herkennen van phishingberichten en in wachtwoordgebruik. Aan de UvA is dit euvel ook waarschijnlijk begonnen met een mailtje naar een werknemer en iemand die op een link heeft geklikt.’
De UvA liet weten dat de ict-afdeling te drukbezet is om op dit moment commentaar te geven.
