Van 288 Saxion-mailaccounts zijn de logingegevens gestolen om te gebruiken voor ransomware-aanvallen, bleek afgelopen donderdag tijdens de grote politie-operatie ‘Operation Endgame’. De wachtwoorden van die accounts zijn dezelfde dag nog gereset. Volgens Wilbert Hepping, Chief Information Security Officer (Ciso), liep Saxion geen risico op bijvoorbeeld een aanval met gijzel-software.
Hepping kreeg afgelopen donderdag bericht vanuit het Digital Trust Centre van ministerie van Economische Zaken over het datalek. De politie was namelijk in Europees verband bezig met ‘Operation Endgame’, waarbij verschillende botnets offline zijn gehaald. In Nederland zijn 33 servers uit de lucht gehaald en werd één doorzoeking gedaan.
Eind mei zijn door de internationale opsporingsautoriteiten botnets IcedID, Smokeloader, SystemBC, Pikabot en Bumblebee offline gehaald. Uit de buitgemaakte kwam ook Saxion naar voren. Er bleken 288 inloggegevens gestolen te zijn.
Uiteindelijk bleek het om accounts van twee medewerkers en zo’n 75 studenten te gaan, zegt Hepping. De overige accounts waren niet meer actief. Die waren bijvoorbeeld van afgestudeerde studenten of medewerkers die van Saxion vertrokken zijn. Die accounts kwamen wel naar voren in het politieonderzoek, omdat ze in de gevonden database zaten, waarvan niet bekend is hoe oud die is.
De gestolen inloggegevens van Saxion hebben niet tot schade geleid, zo concludeerde de security-afdeling. “Daar heeft multifactor authentication (MFA) bij geholpen”, zegt hij. Sinds ongeveer twee jaar zijn een email-adres en wachtwoord namelijk niet meer genoeg om in te loggen. Daarvoor is een tweede stap vereist, het invoeren van een steeds afwisselende cijfercombinatie die naar de mobiele telefoon wordt gestuurd.
Geld eisen
De botnets proberen met die logingegevens in systemen te komen, in dit geval van Saxion. Die kunnen dan bijvoorbeeld platgelegd worden, of er wordt gevoelige informatie gestolen, waarna de criminelen geld eisen om de website weer vrij te geven. Daarvoor wordt malware geïnstalleerd, bijvoorbeeld door mensen die op een verkeerde link hebben geklikt. Die malware draait onzichtbaar op de achtergrond en verstuurt inloggegevens naar de botnets.
De autoriteiten schatten in dat er voor honderden miljoenen euro’s aan financiële schade is aangebracht bij overheden en overheidsinstellingen.
Afgelopen donderdag, 12.15 uur, kwam de melding van de gestolen Saxion-emailaccounts bij Hepping binnen. “Ik haalde er meteen onze security specialist bij”, zegt hij. Drie kwartier later, om 13 uur, was de complete groep bij elkaar om de noodzakelijke acties uit te zetten. Later in de middag, 16 uur, waren alle stappen ondernomen.
Welke stappen gezet zijn? Als eerste moesten de risico’s ingeperkt worden, zegt Hepping. “We hebben van alle geïnfecteerde accounts het wachtwoord gereset, zodat er niet meer een poging tot inlog gedaan kon worden. Daarna keken we of we vreemde gedragingen in het systeem zagen. Dat bleek niet het geval.”
Vervolgens zijn de betreffende medewerkers en studenten rechtstreeks geïnformeerd via hun privé-mail. De laptops van de medewerkers zijn opnieuw geïnstalleerd. “Daarmee hebben we de eventuele malware op die computer verwijderd”, aldus Hepping.
Bij de studenten kon dat niet, omdat die op hun eigen laptop werken. “We hebben in de mail naar hun privéadres gewezen op de mogelijkheden om een scan te doen en de malware te verwijderen”, aldus Hepping. “Ook hebben we aangeboden om dat door de IT-Servicedesk te laten doen.” Navraag leert dat geen van de studenten dat laatste heeft gedaan.
Check je hack
Op de site Check je hack van de politie kunnen mensen controleren of ze getroffen zijn door, of deel uitmaken van, een aantal ontmantelde botnets. De geïnstalleerde malware die onzichtbaar op de achtergrond draait kan verwijderd worden met een virusscanner of een speciaal anti-malware programma.
Gerelateerde artikelen
Studenten koken en dineren met directeuren en leiders; “Er is een generatiekloof”
Een wel heel bijzondere manier van netwerken: tijdens Cook with the Bosses koken en dineren studenten met managers en leiders van verschillende organisaties. In restaurant Rollecate in het gebouw in Deventer leerden ze elkaar en het werkveld donderdagavond beter kennen. Het blijkt dat de bosses ook nog veel van de studenten kunnen leren. “Soms ben ik wel jaloers op ze.”
Column: Binair stelsel
Oh leuk, er is weer eens een discussie gaande over de positie van hogescholen ten opzichte van universiteiten, het zogenaamde binaire stelsel. Er is immers weinig anders aan de hand in de wereld, laat staan het hoger onderwijs.
Voordelig je studieschuld aflossen via het keuzebudget, maar niet als je op Saxion (of een andere hogeschool) werkt
Bij steeds meer bedrijven en (overheids)organisaties kunnen werknemers hun keuzebudget gebruiken om studieschuld af te lossen. Daardoor is het mogelijk om zonder loonbelasting een deel van de schuld af te betalen. Werk je bij een hogeschool of universiteit dan is dit niet het geval. “Bij de cao-onderhandelingen moesten we keuzes maken.”