Cybercriminelen gebruikten darkweb-wachtwoorden bij aanval TU/e

Cybercriminelen die in januari probeerden het netwerk van de Technische Universiteit Eindhoven (TU/e) plat te leggen, maakten gebruik van eerder gehackte accounts waarvan de inloggegevens op het darkweb circuleerden. Dat blijkt uit een onderzoeksrapport van cyberveiligheidsbedrijf Fox-IT, opgesteld in opdracht van de universiteit. De betrokken accounts waren na de eerdere datalekken nooit van een nieuw wachtwoord voorzien.

De aanval werd ontdekt op zaterdagavond 11 januari, maar volgens de onderzoekers wisten de daders al enkele dagen eerder binnen te dringen. Op maandag 6 januari legden zij contact met het VPN-systeem van de TU/e. Daarbij gebruikten ze drie verschillende accounts, waarvan één toegang gaf tot het netwerk. De aanval kon slagen doordat het VPN-systeem geen gebruik maakte van multifactor-authenticatie, waarbij naast een wachtwoord ook een tweede verificatiemiddel nodig is, zoals een sms-code.

Netwerk offline

Na ontdekking haalde de universiteit uit voorzorg het hele netwerk offline. Colleges werden geschrapt en tentamens uitgesteld. Volgens Fox-IT heeft de TU/e daarmee snel en effectief gehandeld, waardoor is voorkomen dat er grote hoeveelheden data zijn buitgemaakt. Losgeld hoefde niet te worden betaald.

De universiteit heeft inmiddels maatregelen genomen om de beveiliging te versterken en zegt te blijven investeren in cyberveiligheid. "Het blijft een wapenwedloop waarin je nooit stil kan staan," aldus vicevoorzitter Patrick Groothuis.

Wie er achter de aanval zit, is nog altijd niet duidelijk. Vermoedelijk gaat het om een ransomwaregroep die uit was op losgeld.

ANP