image

Inspectie: Universiteit Maastricht was niet goed voorbereid op ransomware-aanval

maandag 15 juni 2020, 11:20 door Redactie, 38 reacties

De Universiteit Maastricht was niet goed voorbereid op een aanval met ransomware, waarmee het eind vorig jaar te maken kreeg. Wel is er adequaat gehandeld bij het afhandelen van de aanval, zo stelt de Onderwijsinspectie. Naar aanleiding van het incident, waarbij criminelen allerlei systemen van de universiteit wisten te versleutelen en uiteindelijk 197.000 euro losgeld ontvingen voor het ontsleutelen van bestanden, stelde de Inspectie een onderzoek in.

Uit het onderzoek blijkt dat de universiteit niet goed voorbereid was op een dergelijke aanval. Zo was er wel aandacht voor databeveiliging, maar ging dat voornamelijk over de AVG en niet over mogelijke cyberaanvallen. In de draaiboeken voor grote incidenten was ransomware niet opgenomen. Tevens was er voorafgaand aan de aanval geen totaal (over)zicht op de it-inrichting en daarmee slechts beperkt zicht op de cyberweerbaarheid van de universiteit als geheel, aldus de inspectie.

Verder blijkt dat de interne controle op de uitvoering van het ict-beleid en de opvolging van afspraken nauwelijks was ingericht. Zo was de externe controle procesmatig en enkel gericht op het financiële en HR-pakket van de centrale it-voorziening van de universiteit. Verschillende partijen, waaronder het College van Bestuur (CvB), laten aan de Onderwijsinspectie weten dat er binnen de universiteit over cyberdreigingen werd gesproken, maar dat dit niet als één van de hoogste risico's werd geprioriteerd. "Risico’s voor het UM-onderwijs en onderzoek rond de politieke en maatschappelijke discussie over taal en internationalisering stonden hoger op de agenda", aldus de Inspectie.

Die stelt verder dat een aantal zwakheden in de it-infrastructuur en organisatie van de Universiteit Maastricht hebben bijgedragen aan de omvang van de uiteindelijke ransomware-aanval. Bij een aantal servers in het netwerk waren de laatste beveiligingsupdates niet geïnstalleerd en was er beperkte segmentatie binnen het UM-netwerk. Daarnaast was er volgens de inspectie sprake van gebrekkige monitoring waardoor er geen opvolging werd gegeven aan meldingen van een virusscanner die uiteindelijk door de aanvallers handmatig werd uitgeschakeld. "Hierdoor heeft men onder andere gefaald in het detecteren van de malware", zo laat de Inspectie weten.

Bewustzijn

De aanval begon met verschillende e-mails die een Excel-document als bijlage hadden. Twee medewerkers openden dit document en activeerden de kwaadaardige macro's die de aanvallers hadden toegevoegd. Zo werden de eerste twee UM-systemen gecompromitteerd. Via deze systemen werd vervolgens de rest van het netwerk overgenomen.

Volgens de Inspectie had de universiteit wel verschillende campagnes georganiseerd, maar waren die met name op de AVG gericht. "Medewerkers en studenten noemen tijdens de gesprekken met de inspectie geen campagnes gericht op gevaren van malware. De medezeggenschap merkt tijdens die gesprekken op dat ze niet weten wat het niveau van bewustzijn binnen de UM is. De gesprekspartners nemen aan dat ze zelf niet op phishingmails klikken, maar of dat zo is weten ze niet", zo staat in het onderzoeksrapport vermeld.

De Onderwijsinspectie komt dan ook tot de conclusie dat de Universiteit Maastricht voorafgaande aan de aanval niet altijd passende maatregelen heeft genomen waardoor de aanval een grotere impact had dan nodig. Ook tijdens de eerste fase van het incident bleken de genomen maatregelen niet voldoende, waardoor niet werd opgemerkt dat derden toegang tot het netwerk hadden gekregen.

"De crisisafhandeling zelf was daarentegen adequaat: in deze tweede fase van het incident die startte na het ontdekken van de ransomware aanval, heeft de inspectie geen aanwijzingen gevonden dat de UM andere, meer passende maatregelen had kunnen nemen", aldus de conclusie. Gezien de stappen die de universiteit al na de aanval heeft genomen kiest de Inspectie ervoor om de UM geen aanvullende verbeterpunten voor te schrijven.

Reacties (38)
15-06-2020, 11:38 door Anoniem
In de draaiboeken voor grote incidenten was ransomware niet opgenomen.
Dit is .... onbegrijpelijk.
15-06-2020, 11:50 door Anoniem
Door Anoniem:
In de draaiboeken voor grote incidenten was ransomware niet opgenomen.
Dit is .... onbegrijpelijk.
Helaas bij de meeste bedrijven. Vergeet niet dat de basis security maatregelen al niet actief waren.
W2003 nog draaiende, domain admins voor dagelijkse beheer werkzaamheden.

Het verbaast mij dan niets dat ransomware ook nergens beschreven is of was.
15-06-2020, 12:26 door Anoniem
NSS,

Duur onderzoek, had ik je gratis kunnen vertellen... Is er vulnerability management ingeregeld? Zo nee dan ben je niet voorbereid.
Heb je vulnerability management ingeregeld? Zo ja, dan ben je niet voorbereid.

Ook al ben je wel voorbereid en heb je alles uit de kast getrokken wat er uit te trekken valt (neem de ideale situatie waar je een eindeloos budget hebt.) dan nog valt operaties vies tegen als je wordt geraakt.
Voor de security organisatie moet iedereen binnen haar/zijn circel van invloed hard aan de bak, om te mitigeren. (maar dat is offtopic)
15-06-2020, 12:54 door souplost
Ransomware wordt nooit meegenomen, anders zou de de TCO veel te hoog zijn en de aanschaf van windows onverantwoord.

Dit inspectierapport gaat ook alleen maar over het handelen van de organisatie, niet op de technische details van de aanval.
Het Fox-IT rapport trouwens ook niet. Het wachten is op de 2e golf, want hoe een gepatchte win10 werkplek misbruikt kon worden is niet bekend gemaakt, behalve dat er blijkbaar een Microsoft office macro is gebruikt bij het binnendringen.
15-06-2020, 12:54 door Anoniem
De crisisafhandeling zelf was daarentegen adequaat

Dat zie je wel vaker de brandweer is goed in het bestrijden van de brand, maar het is juist een belangrijke taak van de brandweer om brand te voorkomen.

Dat zie je bij bedrijven vaak niet terug, we blussen wel als het misgaat....
15-06-2020, 13:04 door karma4
Door souplost: Dit inspectierapport gaat ook alleen maar over het handelen van de organisatie, niet op de technische details van de aanval. Het Fox-IT rapport trouwens ook niet. Het wachten is op de 2e golf, want hoe een gepatchte win10 werkplek misbruikt kon worden is niet bekend gemaakt, behalve dat er blijkbaar een Microsoft office macro is gebruikt bij het binnendringen.
Het fox-it rapport en deze is behoorlijk uitgewerkt. Zeer ontluisterende voor evangelisten met een andere agenda.
Genoemd is dat alle aandacht naar de AVG met vele discussies ging. Daarmee bleef er geen tijd meer over voor de noodzakelijke beveiliging. Alsof er van de faciliteerders staan die de aandacht afleiden voor hun misdadige vriendjes.

Heel netjes in het rapport dat het verkeerd en gemakkelijk omgaan met hoge rechten en gebrek aan telemetrie (logging monitoring met analyse Carbon als hulp en SOC als afdeling) tot problemen leidt en heeft geleid.
15-06-2020, 13:26 door souplost - Bijgewerkt: 15-06-2020, 13:27
Door karma4:
Door souplost: Dit inspectierapport gaat ook alleen maar over het handelen van de organisatie, niet op de technische details van de aanval. Het Fox-IT rapport trouwens ook niet. Het wachten is op de 2e golf, want hoe een gepatchte win10 werkplek misbruikt kon worden is niet bekend gemaakt, behalve dat er blijkbaar een Microsoft office macro is gebruikt bij het binnendringen.
Het fox-it rapport en deze is behoorlijk uitgewerkt. Zeer ontluisterende voor evangelisten met een andere agenda.
Genoemd is dat alle aandacht naar de AVG met vele discussies ging. Daarmee bleef er geen tijd meer over voor de noodzakelijke beveiliging. Alsof er van de faciliteerders staan die de aandacht afleiden voor hun misdadige vriendjes.

Heel netjes in het rapport dat het verkeerd en gemakkelijk omgaan met hoge rechten en gebrek aan telemetrie (logging monitoring met analyse Carbon als hulp en SOC als afdeling) tot problemen leidt en heeft geleid. Heel netjes in het rapport dat het verkeerd en gemakkelijk omgaan met hoge rechten en gebrek aan telemetrie (logging monitoring met analyse Carbon als hulp en SOC als afdeling) tot problemen leidt en heeft geleid.

Het fox rapport heeft de initiële besmetting niet uitgewerkt, behalve dat er een Excel macro is gebruikt. Je opmerking over evangelisten met een andere agenda slaat als een tang op een varken. In een ander topic gaf je ook al een linux ontwikkelaar de schuld van microsoft bugs. De inbraak is begonnen met het compromitteren van een windows 10 werkplek. Waarom mag dat niet worden genoemd en waarom is dat ontluisterend voor mensen die er niets mee te maken hebben?
15-06-2020, 14:00 door Anoniem
Door souplost:. De inbraak is begonnen met het compromitteren van een windows 10 werkplek. ?
De grootste oorzaak van het probleem was die oen, die weer ergens op geklikt heeft! De mens is de veroorzaker, niet het OS!
15-06-2020, 14:35 door Anoniem
Door Anoniem:
Door souplost:. De inbraak is begonnen met het compromitteren van een windows 10 werkplek. ?
De grootste oorzaak van het probleem was die oen, die weer ergens op geklikt heeft! De mens is de veroorzaker, niet het OS!
Dat is wel weer erg makkelijk. Ja, de oorzaak is menselijk (maker van ransomware, verspreider van ransomware, oelewapper die op link klikt, slecht systeembeheer) maar het scheelt enorm als het systeem goed is ingericht dat de schade wordt beperkt. Zoals een gordel in de auto.

Dat gezegd hebbende is het op een ander besturingssysteem dan Windows bar moeilijk om op hetzelfde niveau schade toe te brengen met ransomware.
15-06-2020, 14:50 door Anoniem
De inbraak is begonnen met het compromitteren van een windows 10 werkplek. ?

Sure, en daardoor zijn ook alle niet-windows werkplekken besmet geraakt, met een windows virus. Nou goed ? ;)

Vermoeiend, altijd maar weer dat OS geblaat.
15-06-2020, 14:51 door Bitje-scheef - Bijgewerkt: 15-06-2020, 14:52
Door Anoniem:
Door souplost:. De inbraak is begonnen met het compromitteren van een windows 10 werkplek. ?
De grootste oorzaak van het probleem was die oen, die weer ergens op geklikt heeft! De mens is de veroorzaker, niet het OS!

Als de mogelijkheden er niet waren, had het ook niet uitgemaakt dat het mensje er op klikte.
Maar helaas is dit ook niet het geval. Dus het is een samenloop van omstandigheden zoals dat mooi heet.
15-06-2020, 14:53 door Anoniem
De inbraak is begonnen met het compromitteren van een windows 10 werkplek. ?

Want niet Windows systemen zijn altijd goed geconfigureerd en beveiligd, door experts. Of kan ieder systeem dat slecht beveiligd is, een goed startpunt zijn, voor een inbraak. En kan slechte beveiliging ook komen door fouten in configuratie/beveiliging op applicatie niveau, ongeacht de vraag wat het onderliggende OS is....

Een onervaren/ongemotiveerde systeem- of applicatie beheerder kan van iedere OS gatenkaas maken.
15-06-2020, 14:54 door Anoniem
Het fox rapport heeft de initiële besmetting niet uitgewerkt, behalve dat er een Excel macro is gebruikt. Je opmerking over evangelisten met een andere agenda slaat als een tang op een varken. In een ander topic gaf je ook al een linux ontwikkelaar de schuld van microsoft bugs. De inbraak is begonnen met het compromitteren van een windows 10 werkplek.

Gelukkig dat er geen duizenden kwetsbaarheden bestaan, welke je kan exploiten, op niet windows systemen.
15-06-2020, 15:01 door karma4
Door souplost: Het fox rapport heeft de initiële besmetting niet uitgewerkt, behalve dat er een Excel macro is gebruikt. Je opmerking over evangelisten met een andere agenda slaat als een tang op een varken. In een ander topic gaf je ook al een linux ontwikkelaar de schuld van microsoft bugs. De inbraak is begonnen met het compromitteren van een windows 10 werkplek. Waarom mag dat niet worden genoemd en waarom is dat ontluisterend voor mensen die er niets mee te maken hebben?
Lees het fox-it rapport en deze in het artikel.
De problemen met de oorzaken:
- Geen fysieke en logische netwerkscheiding.
- het onnodig werken met hoge (onnodige privileges) . Least privleges is een principe vanuit de jaren 80.
- ontbreken van monitoring op niet normaal gedrag
- In het laatste van de inspectie alle aandacht voor de AVG, veranderingen in password beleid verzond in discussies
Duidelijker dan dat is het niet op te sommen

Ga jij discussies proberen te voeren dat het aan een technologie zou liggen. Je onderbouwt daarmee de geconstateerde problemen van dat discussieren en daarmee het gebrek aan informatieveiligheid. Het kwam al eerder naar boven met externe partijen die ook een stuk beheer doen maar het ontbreken van een samenhang. In het inspectierapport staat ook dat enkel het ingekocht HR ERP pakket regelmatig geaudit werd. Welk pakket zou dat zijn?
Je bewijst enkel mijn eerdere stelling dat evangelisten stoorzenders zijn voor de kwaliteit.
15-06-2020, 15:04 door Anoniem
Door Bitje-scheef:
Door Anoniem:
Door souplost:. De inbraak is begonnen met het compromitteren van een windows 10 werkplek. ?
De grootste oorzaak van het probleem was die oen, die weer ergens op geklikt heeft! De mens is de veroorzaker, niet het OS!

Als de mogelijkheden er niet waren, had het ook niet uitgemaakt dat het mensje er op klikte.
Maar helaas is dit ook niet het geval. Dus het is een samenloop van omstandigheden zoals dat mooi heet.
Maar daardoor gaat het wel vaak fout. Op websites wordt ook vaak geklikt op verkeerde linkjes en dan is Windows niet medeschuldig, maar een ander pakket of OS. Dus de grootste gemene deler is en blijft de mens.
15-06-2020, 15:13 door Anoniem
Door Anoniem:
Door souplost:. De inbraak is begonnen met het compromitteren van een windows 10 werkplek. ?
De grootste oorzaak van het probleem was die oen, die weer ergens op geklikt heeft! De mens is de veroorzaker, niet het OS!

Beste scholier , als iemand jou later ooit design keuzes laat maken, moet je er rekening mee houden dat "ik wil duizenden gebruikers zonder dat er één oen tussen zit" niet iets is dat je kunt bestellen of gaat krijgen.

Je wordt dus geacht om dingen 'fool-proof' te maken. Zelfs als ze proberen een nog betere 'fool' uit te vinden.

Zoals ze in het leger zeggen : elke waarschuwing, hoe stupide ook, is geschreven met het bloed van een idioot.
('front towards enemy' )
15-06-2020, 15:14 door souplost
Door karma4:
Door souplost: Het fox rapport heeft de initiële besmetting niet uitgewerkt, behalve dat er een Excel macro is gebruikt. Je opmerking over evangelisten met een andere agenda slaat als een tang op een varken. In een ander topic gaf je ook al een linux ontwikkelaar de schuld van microsoft bugs. De inbraak is begonnen met het compromitteren van een windows 10 werkplek. Waarom mag dat niet worden genoemd en waarom is dat ontluisterend voor mensen die er niets mee te maken hebben?
Lees het fox-it rapport en deze in het artikel.
De problemen met de oorzaken:
- Geen fysieke en logische netwerkscheiding.
- het onnodig werken met hoge (onnodige privileges) . Least privleges is een principe vanuit de jaren 80.
- ontbreken van monitoring op niet normaal gedrag
- In het laatste van de inspectie alle aandacht voor de AVG, veranderingen in password beleid verzond in discussies
Duidelijker dan dat is het niet op te sommen

Ga jij discussies proberen te voeren dat het aan een technologie zou liggen. Je onderbouwt daarmee de geconstateerde problemen van dat discussieren en daarmee het gebrek aan informatieveiligheid. Het kwam al eerder naar boven met externe partijen die ook een stuk beheer doen maar het ontbreken van een samenhang. In het inspectierapport staat ook dat enkel het ingekocht HR ERP pakket regelmatig geaudit werd. Welk pakket zou dat zijn?
Je bewijst enkel mijn eerdere stelling dat evangelisten stoorzenders zijn voor de kwaliteit.
Natuurlijk geeft Karma4 weer geen antwoord maar begint weer over iets anders.
Als die windows10 werkplek (2 geloof ik) niet was gecompromitteerd was er niets aan de hand geweest. Hoe kon die werkplek geïnfecteerd worden? Waarmee weten we al. Natuurlijki moet je ook een discussie voeren over technologie. Goed gereedschap is namelijk het halve werk. Waarom weet jij dat niet?
15-06-2020, 16:32 door karma4
[Verwijderd door moderator]
15-06-2020, 17:07 door souplost
[Verwijderd door moderator]
15-06-2020, 17:08 door souplost
[Verwijderd door moderator]
15-06-2020, 17:13 door Anoniem
[Verwijderd door moderator]
15-06-2020, 18:10 door Anoniem
[Verwijderd door moderator]
15-06-2020, 18:30 door souplost - Bijgewerkt: 15-06-2020, 18:35
[Verwijderd door moderator]
15-06-2020, 20:04 door The FOSS
[Verwijderd door moderator]
15-06-2020, 20:13 door karma4
[Verwijderd door moderator]
15-06-2020, 21:09 door souplost - Bijgewerkt: 15-06-2020, 21:09
[Verwijderd door moderator]
15-06-2020, 21:51 door The FOSS
[Verwijderd door moderator]
15-06-2020, 22:56 door souplost
[Verwijderd door moderator]
16-06-2020, 06:57 door karma4
[Verwijderd door moderator]
16-06-2020, 07:18 door The FOSS - Bijgewerkt: 16-06-2020, 07:19
[Verwijderd door moderator]
16-06-2020, 07:28 door karma4 - Bijgewerkt: 16-06-2020, 07:28
[Verwijderd door moderator]
16-06-2020, 07:59 door The FOSS
[Verwijderd door moderator]
16-06-2020, 08:08 door karma4
[Verwijderd door moderator]
16-06-2020, 08:29 door The FOSS - Bijgewerkt: 16-06-2020, 08:38
[Verwijderd door moderator]
16-06-2020, 08:37 door Bitje-scheef
Kan dit draadje op slot ?
16-06-2020, 08:38 door Anoniem
[Verwijderd door moderator]
16-06-2020, 08:38 door The FOSS
[Verwijderd door moderator]
16-06-2020, 09:10 door karma4 - Bijgewerkt: 16-06-2020, 09:11
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.