In februari van dit jaar werden de Universiteit van Amsterdam (UvA) en de Hogeschool van Amsterdam (HvA) getroffen door een cyberaanval. Uit recent onderzoek door het Instituut voor Veiligheids- en Crisismanagement (COT) is gebleken dat hackers zich toegang wisten te verschaffen via een besmette laptop van een student.
Tijdens de aanval werden meer dan zestig servers van de UvA en HvA geïnfecteerd. De criminelen wisten versleutelde wachtwoorden van studenten en medewerkers te ontvreemden.
Citrix-omgeving
De laptop van de student raakte op 11 februari geïnfecteerd met kwaadaardige software. Vervolgens kregen de hackers toegang tot meerdere accountgegevens, zoals inloggegevens van een HvA/UvA-gebruikersaccount. Hoe de besmetting precies plaatsvond, hebben de onderzoekers niet bekendgemaakt. Het onderzoeksrapport vermeldt slechts dat er malware op de laptop werd gedownload. Op 12 februari, binnen 24 uur na de aanval op de laptop, gebruikte de hacker de gestolen inloggegevens om de Citrix-omgeving van de onderwijsinstellingen te verkennen.
Password spraying
Een andere hacker gebruikte het gestolen account op 13 februari om in te loggen op de IT-omgeving van de onderwijsinstellingen. Op 15 februari ontdekte het Security Operations Center (SOC) dat er van vrijdagnacht 12 februari tot en met zondag 14 februari verdachte activiteiten op het netwerk hadden plaatsgevonden. Het betrof onder meer password spraying en verkenning van het netwerk.
Klik hier voor het evaluatierapport uitgevoerd door het Instituut voor Veiligheids- en Crisismanagement (COT).