Van 288 Saxion-mailaccounts zijn de logingegevens gestolen om te gebruiken voor ransomware-aanvallen, bleek afgelopen donderdag tijdens de grote politie-operatie ‘Operation Endgame’. De wachtwoorden van die accounts zijn dezelfde dag nog gereset. Volgens Wilbert Hepping, Chief Information Security Officer (Ciso), liep Saxion geen risico op bijvoorbeeld een aanval met gijzel-software.
Hepping kreeg afgelopen donderdag bericht vanuit het Digital Trust Centre van ministerie van Economische Zaken over het datalek. De politie was namelijk in Europees verband bezig met ‘Operation Endgame’, waarbij verschillende botnets offline zijn gehaald. In Nederland zijn 33 servers uit de lucht gehaald en werd één doorzoeking gedaan.
Eind mei zijn door de internationale opsporingsautoriteiten botnets IcedID, Smokeloader, SystemBC, Pikabot en Bumblebee offline gehaald. Uit de buitgemaakte kwam ook Saxion naar voren. Er bleken 288 inloggegevens gestolen te zijn.
Uiteindelijk bleek het om accounts van twee medewerkers en zo’n 75 studenten te gaan, zegt Hepping. De overige accounts waren niet meer actief. Die waren bijvoorbeeld van afgestudeerde studenten of medewerkers die van Saxion vertrokken zijn. Die accounts kwamen wel naar voren in het politieonderzoek, omdat ze in de gevonden database zaten, waarvan niet bekend is hoe oud die is.
De gestolen inloggegevens van Saxion hebben niet tot schade geleid, zo concludeerde de security-afdeling. “Daar heeft multifactor authentication (MFA) bij geholpen”, zegt hij. Sinds ongeveer twee jaar zijn een email-adres en wachtwoord namelijk niet meer genoeg om in te loggen. Daarvoor is een tweede stap vereist, het invoeren van een steeds afwisselende cijfercombinatie die naar de mobiele telefoon wordt gestuurd.
Geld eisen
De botnets proberen met die logingegevens in systemen te komen, in dit geval van Saxion. Die kunnen dan bijvoorbeeld platgelegd worden, of er wordt gevoelige informatie gestolen, waarna de criminelen geld eisen om de website weer vrij te geven. Daarvoor wordt malware geïnstalleerd, bijvoorbeeld door mensen die op een verkeerde link hebben geklikt. Die malware draait onzichtbaar op de achtergrond en verstuurt inloggegevens naar de botnets.
De autoriteiten schatten in dat er voor honderden miljoenen euro’s aan financiële schade is aangebracht bij overheden en overheidsinstellingen.
Afgelopen donderdag, 12.15 uur, kwam de melding van de gestolen Saxion-emailaccounts bij Hepping binnen. “Ik haalde er meteen onze security specialist bij”, zegt hij. Drie kwartier later, om 13 uur, was de complete groep bij elkaar om de noodzakelijke acties uit te zetten. Later in de middag, 16 uur, waren alle stappen ondernomen.
Welke stappen gezet zijn? Als eerste moesten de risico’s ingeperkt worden, zegt Hepping. “We hebben van alle geïnfecteerde accounts het wachtwoord gereset, zodat er niet meer een poging tot inlog gedaan kon worden. Daarna keken we of we vreemde gedragingen in het systeem zagen. Dat bleek niet het geval.”
Vervolgens zijn de betreffende medewerkers en studenten rechtstreeks geïnformeerd via hun privé-mail. De laptops van de medewerkers zijn opnieuw geïnstalleerd. “Daarmee hebben we de eventuele malware op die computer verwijderd”, aldus Hepping.
Bij de studenten kon dat niet, omdat die op hun eigen laptop werken. “We hebben in de mail naar hun privéadres gewezen op de mogelijkheden om een scan te doen en de malware te verwijderen”, aldus Hepping. “Ook hebben we aangeboden om dat door de IT-Servicedesk te laten doen.” Navraag leert dat geen van de studenten dat laatste heeft gedaan.
Check je hack
Op de site Check je hack van de politie kunnen mensen controleren of ze getroffen zijn door, of deel uitmaken van, een aantal ontmantelde botnets. De geïnstalleerde malware die onzichtbaar op de achtergrond draait kan verwijderd worden met een virusscanner of een speciaal anti-malware programma.
Gerelateerde artikelen
Vrijwel alle deelraden adviseerden tegen, toch stemde CMR in met reorganisatie; Dienstenraad ‘teleurgesteld’
Vrijwel alle decentrale medezeggenschapsraden adviseerden de Centrale Medezeggenschap om vorige week (nog) niet in te stemmen met de reorganisatieplannen van het bestuur. Die adviezen kwamen op verzoek van de CMR. De Dienstenraad is ‘teleurgesteld’ dat het advies niet is overgenomen en dat die instemming er wel kwam.
Saxion schakelt locatievoorzieningen permanent in op alle apparaten; maar privacy is ‘gewaarborgd’
Vanaf juli staan ‘locatievoorzieningen’ op alle Saxion-laptops en telefoons standaard ingeschakeld en kunnen die door de gebruiker niet worden uitgeschakeld. Met die maatregel moet voorkomen worden dat medewerkers denken dat hun apparaat kwijt is of in verkeerde handen is gekomen, en deze dan leeggehaald moet worden door het IT Xpert Centre, zegt Erwin Rensink, adviseur BSO.
Saxion-onderzoek geeft aanwijzingen, maar nog geen bewijs voor vondst Vierde Musketier
Het onderzoek naar d’Artagnan (bijgenaamd de Vierde Musketier) door Saxion-archeoloog Raphaël Panhuysen is nog niet klaar. Verder onderzoek moet uitwijzen of het hier om het skelet – dat onderzocht werd in Deventer - van de Vierde Musketier gaat. Gemeente Maastricht, vinder van het skelet, stelt voor om vervolgonderzoek te doen onder leiding van ‘dna-skelet-autoriteit’ Panhuysen.