De aanvaller die afgelopen december systemen van de Universiteit Maastricht met ransomware wist te infecteren kon zich onder andere door het netwerk bewegen omdat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daardoor waren ze kwetsbaar voor een door de Amerikaanse geheime dienst NSA ontwikkelde exploit. Dat blijkt uit het onderzoeksrapport naar de aanval dat door securitybedrijf Fox-IT is opgesteld (pdf).
Gisteren gaf de universiteit al een presentatie over de aanval. In het onderzoeksrapport zijn meer details te vinden. Zo blijkt dat de aanvaller hetzelfde draaiboek volgde dat ook bij tal van andere ransomware-aanvallen is waargenomen. De aanval begon met verschillende e-mails die naar een kwaadaardig Excel-document wezen. De eerste e-mail die op 15 oktober werd verstuurd had als onderwerp "Documents" en de tekst "As discussed, please see attached a copy of your documents, please can you sign and scan these back to me as soon as possible Download form Microsoft OneDrive", gevolgd door de link.
Uit het vrijgegeven screenshot blijkt dat de universiteitsmedewerker die de e-mail ontving nog een antwoord naar de aanvaller heeft teruggestuurd. Tevens heeft de medewerker het Excel-document geopend. Het document was voorzien van een kwaadaardige macro die malware op het systeem installeerde. Microsoft Office blokkeert standaard macro's. In het geval van een document met macro's krijgen gebruikers de vraag of ze macro's willen inschakelen. Organisaties kunnen een Group Policy doorvoeren die ervoor zorgt dat macro's standaard worden ingeschakeld of geblokkeerd.
De aanvaller verstuurde op 16 oktober naar zes andere e-mailadressen een tweede aanvalsmail met het onderwerp "CL meeting schedule.xls" en de tekst "Hi, Thank you for offering to find rooms for me for this schedule. I can eventually attached It!", gevolgd door een link naar een Excel-document met opnieuw een kwaadaardige macro. Wederom werd de macro ingeschakeld waardoor het virtuele werkstation van de medewerker besmet raakte.
Een dag later compromitteert de aanvaller twee servers. Die draaien op Server 2003 R2, waarvan Microsoft op 14 juli 2015 de ondersteuning stopte. Het platform ontvangt geen beveiligingsupdates meer. Daar komt op 12 mei 2017 verandering in. Vanwege de uitbraak van de WannaCry-ransomware brengt Microsoft een noodpatch voor Windows Server 2003 R2 uit. WannaCry maakt gebruik van een beveiligingslek dat door de NSA is ontdekt. De Amerikaanse geheime dienst ontwikkelt een exploit genaamd EternalBlue waarmee kwetsbare systemen zijn aan te vallen. De exploit belandt echter op internet en cybercriminelen gebruiken die om systemen mee aan te vallen.
Ondanks de beschikbaarheid van deze zeer belangrijke beveiligingsupdate wordt die niet door de universiteit geïnstalleerd en maakt de aanvaller hier misbruik van. "Tijdens het onderzoek is duidelijk geworden dat de aanvaller zich onder andere lateraal door het netwerk heeft kunnen bewegen door het gebruiken van de zogenaamde EternalBlue-exploit", aldus Fox-IT. Met de EternalBlue-exploit kan een aanvaller vanaf een ander systeem in het netwerk toegang krijgen tot het aangevallen systeem en malware uitvoeren met het lokale SYSTEM-account
Uiteindelijk weet de aanvaller meer servers te compromitteren en brengt de Active Directory-structuur van het universiteitsnetwerk in kaart. Op 21 november lukt het de aanvaller om domeinbeheerderrechten te verkrijgen. In strijd met het beleid maken systeembeheerders van de universiteit gebruik van het domeinbeheerderaccount voor het uitvoeren van onderhoudswerkzaamheden. Hierdoor was het wachtwoord mogelijk aanwezig in het geheugen van een gecompromitteerd systeem dat door de aanvaller kon worden uitgelezen. Zo is de tool Mimikatz aangetroffen die hiervoor kan worden gebruikt.
Op 23 december rolt de aanvaller, die dan al twee maanden onopgemerkt in het netwerk zit, de ransomware uit. 267 servers raken besmet. Onder de getroffen systemen bevinden zich zeer kritieke systemen voor de bedrijfsvoering van de universiteit, zoals de domaincontrollers, Exchange-servers, bestandsservers met onderzoek- en bedrijfsvoeringsgegevens en een aantal van de back-upservers.
Om herhaling te voorkomen krijgt de universiteit in het rapport verschillende adviezen aangereikt, zoals het inzetten op het verhogen van de awareness van medewerkers, geen werkzaamheden met domeinbeheerderaccounts uit te voeren, het gebruik van (ongetekende) macro's te blokkeren, het gebruik van de Beschermde gebruikersgroep binnen de Active Directory en het tijdig installeren van beveiligingsupdates.
Fox-IT laat aan Security.NL weten dat in het geval van de Universiteit Maastricht macro's door de gebruiker moesten worden geactiveerd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.