De cybercriminelen die in januari het netwerk van de TU Eindhoven (TU/e) probeerden plat te leggen, gebruikten daarvoor accounts die eerder waren gehackt en waarvan de inloggegevens op het darkweb te vinden waren.
Dat staat in een onderzoeksrapport dat cyberveiligheidsbedrijf Fox-IT in opdracht van de universiteit heeft opgesteld. Volgens de onderzoekers hadden de gebruikers van de gehackte accounts hun wachtwoord niet veranderd.
De cyberaanval werd op zaterdagavond 11 januari ontdekt. Volgens de onderzoekers van Fox-IT waren de aanvallers er al een paar dagen daarvoor in geslaagd in te breken in het netwerk.
Op maandag 6 januari maakten ze verbinding met een VPN-systeem van de TU/e. Ze probeerden met drie verschillende accounts in te loggen, waarvan een poging slaagde. Dat kon gebeuren doordat het VPN-systeem niet werkte met multifactor-authenticatie, waarbij behalve een wachtwoord nog een ander middel nodig is om in te loggen, zoals een sms-code.
Inmiddels zijn de aangetroffen kwetsbaarheden in de cybersecurity aangepakt, meldt de TU/e. Ook zegt de universiteit daarin te blijven investeren. "Het blijft een wapenwedloop waarin je nooit stil kan staan", zegt vicevoorzitter Patrick Groothuis.
De TU/e besloot na de ontdekking van de cyberaanval het netwerk van de universiteit uit de lucht te halen. Ook werden colleges geschrapt en tentamens uitgesteld. Volgens de onderzoekers heeft de universiteit snel gehandeld en is daarmee voorkomen dat grote hoeveelheden data zijn buitgemaakt. Ook hoefde geen losgeld te worden betaald.
Wie er achter de cyberaanval zit, blijft onduidelijk. Waarschijnlijk gaat het om een ransomwaregroep die uit was op losgeld.
Het is een goudmijn voor Aziatische bendes. Ze ontvoeren mensen, sluiten ze op en dwingen ze om mensen over de hele wereld online op te lichten. Bekijk de reportage van Thom Schelstraete:
