In het brein van hackers: ‘Ze zoeken kwetsbaarheid en bereidheid om te betalen’
De HvA en de UvA zijn doelwit van een cyberaanval. Ook de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) werd gehackt. Is dat toeval? We vroegen het TU Delft-docent Rolf van Wegberg, gespecialiseerd in cybercrime governance.
De HvA en de UvA zijn nu anderhalve week in de greep van een cyberaanval op de gezamenlijke ict-systemen. De hackers zijn volgens de instellingen uit op financieel gewin, maar er zou nog geen losgeld zijn geëist. Wel hebben de hackers toegang tot de wachtwoorden van studenten en medewerkers. Ondanks dat die extra beveiligd zijn met een versleuteling, vragen de instellingen studenten en medewerkers met spoed hun wachtwoord te veranderen.
Bij de HvA zouden de hackers zijn tegengehouden voordat ze om losgeld konden vragen. Hoe zit dat?
‘Het merendeel van de systemen werkt nog. Waarschijnlijk zijn de hackers maar in één systeem binnengedrongen, bijvoorbeeld het systeem van de universiteitsbibliotheek, en zijn ze toen gesignaleerd – ze zijn niet ver gekomen. De UvA heeft de hackers vermoedelijk gedetecteerd terwijl ze het systeem nog aan het verkennen waren. Het ziet ernaar uit dat de digitale alarmbellen van de HvA goed hebben gewerkt.’
De HvA is nu al zo’n anderhalve week druk met de aanval. Waarom is dat, denkt u, als de hackers niet ver zijn gekomen?
‘Ik denk dat ze in systemen zoeken naar sporen van “braak”. Dat duurt even, want er zijn een boel systemen en elk systeem heeft tien- tot honderdduizenden regels aan computercode. Criminelen bouwen soms achterdeurtjes in een code zodat ze over een half jaar gemakkelijk kunnen terugkomen. Ze maken bijvoorbeeld een gebruikersaccount dat alle rechten heeft. Zulke achterdeurtjes moeten gevonden worden, anders ben je kwetsbaar.’
Hoe dringen professionele hackers eigenlijk een systeem binnen?
‘Universiteiten en hogescholen werken met honderden ict-systemen waarvan delen soms al enkele decennia bestaan. Met zo’n netwerk is het ingewikkeld om alles honderd procent op orde te krijgen – volledige veiligheid bestaat sowieso niet. Oude en nieuwere systemen zitten soms met plakband aan elkaar en kunnen kwetsbaarheden bevatten. En dan is er nog het menselijke aspect: bij de NWO-aanval werden waarschijnlijk phishingmails naar werknemers gestuurd en toen één persoon op de verkeerde link klikte konden hackers zo het netwerk binnenwandelen. De vraag is: kunnen hackers die één systeem binnenkomen vervolgens de hele instelling overnemen? Hoe ver kom je in het gebouw als je voordeur kwetsbaar is?’
Eind 2019 werd de Universiteit Maastricht getroffen door een cyberaanval. Hackers wisten zogenoemde ‘gijzelsoftware’, ook wel ransomware genoemd, te installeren op de servers van de universiteit. Daardoor werd die informatie ontoegankelijk voor medewerkers en studenten van de universiteit. Het onderwijs moest meerdere weken worden stilgelegd. Pas nadat de universiteit, tegen de van adviezen van het Ministerie van Onderwijs, Cultuur & Wetenschap in, bijna twee ton losgeld aan de hackers betaalde, kon de universiteit weer bij haar data.
Hackers plaatsen vaker ransomware bij universiteiten of bijvoorbeeld bij ziekenhuizen. Deze maand was ook de NWO slachtoffer. Waarom kiezen hackers deze instellingen als doelwit?
‘Enerzijds kijken hackers naar organisaties die mogelijk kwetsbaar zijn wegens suboptimale beveiliging. Anderzijds kijken ze naar willingness to pay: ze kiezen organisaties met een sterke prikkel om te betalen, bijvoorbeeld omdat de zorg anders niet kan doorgaan of omdat een heleboel mensen anders niet kunnen werken. Door wat in Maastricht gebeurde, weten hackers dat er betaald wordt: die universiteit maakte 197.000 euro over. Een organisatie als de NWO deelt jaarlijks 1 miljard uit, dus hackers weten dat daar geld zit.’
‘Bedrijven zijn overigens net zo vaak slachtoffer van cyberaanvallen, maar uit angst voor reputatieschade lopen ze er niet mee te koop. Er bestaan zelfs cyberverzekeringen die het losgeld dekken bij een aanval en die je niet verplichten om achteraf aangifte te doen bij de politie.’
De aanvallen op de NWO en de UvA en HvA vonden allemaal plaats binnen dezelfde maand. Is dat toeval?
‘Dat kan. Het verschil tussen de aanvallen is dat de hackers bij de NWO erin slaagden om bestanden weg te sluizen die nu naar buiten worden gebracht op het dark web. Ze hebben de NWO-servers gegijzeld totdat losgeld wordt betaald. Bij de UvA en HvA is dat niet gebeurd, dat kan zijn omdat de ict-afdelingen de hackers op tijd hebben gedetecteerd, maar het kan ook zijn dat het om een andere groep ging met een ander doel.’
‘Misschien ging het de HvA-hackers niet zozeer om losgeld en afpersing, maar om het verkrijgen van gebruikersnamen en wachtwoorden, met de verkoop daarvan is ook geld te verdienen. In het algemeen kun je zeggen dat op elk willekeurig moment meerdere hackersgroepen naast elkaar bestaan die op professionele schaal ransomware-aanvallen plegen.’
‘Aan de HvA is dit waarschijnlijk ook begonnen met een phishing mail en iemand die op een link heeft geklikt’
De NWO bracht naar buiten om welke hackersgroep het ging: Doppelpaymer. Hoe kwamen ze erachter wie heeft gehackt?
‘Elke groep hackers heeft een signatuur en een modus operandi, een manier waarop boeven te werk gaan. Blijkbaar vertoonde deze aanval sporen van de signatuur van hackersgroep Doppelpaymer. Wellicht heeft de NWO hulp ingeschakeld van een cybersecuritybedrijf. Professionals kunnen aan de manier van werken en aan de afzender vaak zien om welke groep het gaat. Het is moeilijk om de precieze identiteit van hackers te achterhalen. Je kunt zeggen dat ze uit Rusland komen omdat ze Russische toetsenborden gebruiken, maar ik kan zelf net zo goed een Russisch toetsenbord gebruiken.’
De NWO zegt niet te willen betalen. Ook de politie riep vorig jaar op om geen losgeld te betalen bij een ransomware-aanval. Is dat de manier om dit soort criminaliteit te stoppen?
‘Als je afspreekt dat niemand betaalt, is deze vorm van criminaliteit zo uitgeroeid. Het is dan niet aantrekkelijk voor hackers om daar nog tijd in te steken. Het probleem is dat er altijd mensen zijn die betalen.’
‘De hackers “helpen” bedrijven ook om te zien waar kwetsbaarheden in hun ict-systemen zitten. In Maastricht hebben ze de afweging gemaakt: gaan we niets betalen, de boel zelf herstellen en onze beveiliging opschroeven, of gaan we betalen, onze systemen terugkrijgen en de informatie die we door de aanval kregen gebruiken om onze systemen te verbeteren? Ze hebben gekozen voor het tweede. Omdat het een zakelijke afweging is, valt het kwartje vaak de kant op van de criminelen.’
‘Ik vind het punt van de NWO overigens erg interessant. Ze zeggen “als onderdeel van Rijksoverheid op principiële gronden niet in te gaan” op eisen van de hackers. Maar wat als gegevens van medewerkers op straat komen te liggen – huisadressen, verslagen van functioneringsgesprekken? Het lijkt nu alsof die beleidsmatige principes boven privacy staan. Dat is een afweging die je moet maken.’
Wat kunnen instellingen doen om zulke aanvallen te voorkomen?
‘Technisch kun je je voorbereiden door kwetsbaarheden in systemen na te gaan. Het is ook belangrijk om te denken aan basisregels zoals het updaten van software. Dat gebeurt lang niet altijd: in ziekenhuizen worden apparaten gebruikt met software die niet wordt geüpdatet omdat apparaten dan opnieuw gecertificeerd moeten worden. Natuurlijk kun je medewerkers en studenten ook trainen in het herkennen van phishingberichten en in wachtwoordgebruik. Aan de UvA en de HvA is dit euvel ook waarschijnlijk begonnen met een mailtje naar een werknemer en iemand die op een link heeft geklikt.’