De avond van 23 december 2019 was een duistere avond voor de Universiteit Maastricht (UM). Het was de avond waarop succesvol een ransomware-aanval werd uitgevoerd. In totaal werden 267 servers op het Windows domein UNIMAAS geraakt door de aanval. Onder deze servers bevonden zich (online) back-up- en Corsaservers (documentbeheersysteem). Door deze geslaagde aanval dreigde jarenlang onderzoekswerk verloren te gaan.
De gijzelaars eisten maar liefst een bedrag van €200.000,- euro aan losgeld, dat de UM uiteindelijk besloten heeft te betalen. Hoewel dat een substantieel bedrag is, liggen de werkelijke kosten in de praktijk vaak hoger. De volgende kosten dienen immers meegenomen te worden: op 24 december 2019 is FOX-IT ingehuurd om forensisch onderzoek uit te voeren, tevens heeft FOX-IT advies gegeven en er zijn kosten gemaakt om ervoor te zorgen dat een dergelijke aanval niet gemakkelijk weer kan gebeuren. Overigens, wanneer een ransomware-aanval als deze plaatsvindt bij een organisatie die productie draait, dient het omzetverlies ook in het kostenplaatje meegenomen te worden.
Dan is het nu tijd voor de hamvraag van dit artikel: kan uw bedrijf ook slachtoffer worden van een ransomware-aanval? Laten we beginnen met hoe het kan dat deze aanval succesvol was. Het succes van de aanval zit in een zestal factoren:
1. Een geslaagde phishing e-mail
Hoewel de phishing e-mail dat werd gestuurd door de aanvallers van slechte kwaliteit was, werd er toch door 2 medewerkers op geklikt. De bijlage bevatte een Excelbestand met een macro. Deze macro haalde malware op waardoor toegang werd verkregen tot het netwerk van de UM.
2. Achterstand met updaten
Binnen de infrastructuur van de UM werd gebruikt gemaakt van verouderde systemen, waaronder een Windows Server 2003 R3 variant, die niet meer ondersteund werden met beveiligingsupdates van de leverancier. Zodoende kon door middel van een bij de aanvallers bekende beveiligingslek Domain Admin rechten verkregen worden. Met een Domain Admin account heb je binnen een infrastructuur alle rechten en kom je dus overal binnen.
3. Onvoldoende segmentering
Het netwerk van de UM was opgebouwd met een open kader. Vele systemen en netwerken waren aan elkaar gekoppeld. Dit is een eenvoudige wijze om je netwerk in te richten wanneer vele systemen met elkaar moeten kunnen samenwerken. Vanuit beveiligingsperspectief is dit niet gewenst: ben je eenmaal binnen, dan kun je binnen het gehele netwerk rondsnuffelen.
4. Onjuist gebruik beheerdersaccounts
Op de Windows Server 2003 R3 is ooit ingelogd met een Domain Admin account, waarschijnlijk voor onderhoudswerkzaamheden. Een Domain Admin account dien je alleen voor het beheer van je domein te gebruiken. Door het bestaan van een Domain Admin account binnen de Windows Server 2003 R3, was het voor de aanvallers dan ook niet al te moeilijk om de bijkomende rechten te misbruiken binnen het gehele netwerk.
5. Onvoldoende monitoring van infrastructuur en opvolging meldingen
Op 16 oktober 2019 waren de aanvallers voor het eerst binnen op het netwerk. Hiervan zijn meldingen gemaakt bij de servicedesk. Met de juiste monitoring tools en opvolging van deze meldingen had de aanvaller gedetecteerd kunnen worden. Helaas zijn vanwege de hoge werkdruk de meldingen tussen wal en schip beland.
6. (Online) back-ups benaderbaar vanaf netwerk
Gezien de back-up systemen van de UM benaderbaar waren vanaf het netwerk (online back-up), werden ook deze back-up servers meegenomen in de aanval. Het voordeel van een online back-up is dat deze gemakkelijk kan worden teruggezet. Echter zijn bij een ransomware-aanval ook de back-up servers benaderbaar en dus niet meer terug te halen.
Op basis van mijn eigen ervaring ben ik van mening dat de ransomware-aanval bij de UM geen uitzonderlijke situatie betreft. Eén of meerdere van de bovenstaande situaties zullen bij veel organisaties terug te vinden zijn. Vaak zijn er bepaalde bedrijfsbelangen waardoor dergelijke schrijnende situaties kunnen ontstaan. Zeker in de beginfase van een project waarbij de informatiebeveiligingsbelangen niet serieus worden meegenomen. Hoe eerder security wordt meegenomen in het ontwerp, hoe lager de kosten zijn om een veilige omgeving voor uw organisatie te realiseren.
Bevindt u zich in een situatie die vergelijkbaar is met één van de bovenstaande situaties, dan heeft FOX-IT een viertal aanbevelingen geformuleerd die worden ingedeeld in de categorieën preventie, detectie en response:
Dit artikel is mede mogelijk gemaakt door het transparant handelen van de Universiteit Maastricht. Zelf heb ik de berichtgevingen van de ransomware-aanval op de voet gevolgd. Een aanval als deze ligt bij elke organisatie op de loer en ik ben dankbaar voor de transparantie van de UM. Op deze wijze kunnen andere organisaties leren van het voorval. Bent u nieuwsgierig geworden naar het gehele rapport of het symposium dat de UM heeft gegeven over de aanval? Dan kunt u terecht op de website van de UM, via https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learnt.
Auteur: Michel Modderkolk