De aanval werd ontdekt door het Security and Operations Centre van de HvA en UvA.

Door Anoniem: Zowel de UvA als de HvA zijn aangesloten bij SURF-Cert
https://wiki.surfnet.nl/display/CSIRTs
"SURFcert is het CSIRT voor het nationale onderzoeks- en onderwijsnetwerk SURFnet. Sinds 2006 promoot SURFcert de oprichting van lokale CSIRTs bij aangesloten instellingen. Een CSIRT is een capability/team van een organisatie dat informatiebeveiligingsincidenten managet - wat tenminste inhoudt dat mogelijke incidenten voorkomen worden, incidenten die plaatsvinden opgelost worden en dat de geleerde lessen ter harte genomen worden. Niettemin, alle op SURFnet aangesloten instellingen ontvangen ondersteuning van SURFcert, ongeacht of ze al een CSIRT hebben opgericht.
De locale CSIRTs en gelieerde operationele security experts werken samen in SCIRT, de SURFnet Community van Incident Response Teams."

Dit lijkt nu zijn vruchten af te werpen:
Boooom ... er zijn alarmbellen gaan rinkelen. Het IDS intrusion detection system, of misschien het IPS intrusion preventing system hebben kennelijk het SOC gealarmeerd. Zo zien we het graag .... ;-)

Nu graven en spitten .... "If we smell a rat, we dig until we find it".
Analyseren, isoleren en opschonen. Misschien wel met hulp van collega-CSIRT of SURF-CERT leden. En uiteraard de IoC indicators of compromise direct delen met deze collega's.

Ik kijk nu al uit naar een rapportage van de HvA en UvA, zoals de Universiteit van Maastricht heeft gepubliceerd over de Clop-ransomware in samenwerking met FoxIT. Goed voorbeeld doet goed volgen.