Botnets zijn een van de meest voorkomende aanvalstechnieken die worden gebruikt door cybercriminelen. In 2021 werd de onderwijs/onderzoeksector het hardst getroffen door cyberaanvallen met een verontrustende stijging van maar liefst 75% ten opzichte van 2020. Wytske van der Waagen en Frank Bernaards, auteurs en experts op dit gebied, stellen de vraag of botnets een nieuwe vorm van criminele actoren hebben geïntroduceerd. Volgens de auteurs is de traditionele benadering van criminele netwerken, die zich voornamelijk concentreert op de menselijke betrokkenheid, niet langer afdoende aan de hedendaagse behoeften. Dit word duidelijk geïllustreerd door de verwoestende cyberaanval op Maastricht Universiteit in 2019. Maar wat kunnen onderwijsinstellingen precies doen om het risico op dergelijke aanvallen zo veel mogelijk te voorkomen?
Een botnet kan jouw computer onderdeel maken van een netwerk geïnfecteerde computers die Distributed Denial of Service (DDoS) aanvallen uitvoeren. Een botnet is een netwerk van computers dat door de dader wordt beheerd door middel van kwaadaardige software, oftewel malware, zonder dat gebruikers van de geïnfecteerde computers het weten. De dader, ook wel vaak een “botmaster” genoemd, kan deze bots gebruiken om een cyberaanval uit te voeren op een website. Als gevolg hiervan wordt een botnet beschouwd als een criminele actor die niet menselijk noch machinaal is. Door een “Command-and-Control” systeem op te zetten, heeft de botmaster de capaciteit om het gedrag van botmalware op afstand te besturen en daardoor verschillende kwaadaardige activiteiten uit te voeren, waaronder DDoS aanvallen.
Meestal is phishing de eerste stap van aanval waarna een overname van accounts de opstap voor een grotere aanval biedt. Na de eerste stap, kunnen de criminelen actoren door middels van botnets de ransomware verspreiden, wat ook gebeurde op 23 december 2019 tot Maastricht Universiteit werd gegijzeld met de CLOP ransomware.
Met de beruchte ransomware-aanval op Maastricht Universiteit, zien we dat het onderwijs steeds vaker een doelwit van ernstige DDoS aanvallen is. Uit forensisch onderzoek is gebleken dat de hackers die de aanval op Maastricht Universiteit hebben uitgevoerd, al ruim twee maanden toegang hadden tot het universiteitsnetwerk. Dit is mogelijk geworden nadat twee medewerkers van de universiteit een phishing-link in een e-mail hadden geopend. Eenmaal binnen het netwerk, slaagden de hackers erin volledige administratie-rechten te verkrijgen over de servers doordat twee servers een essentiële beveiligingsupdate misten. De aanval op Maastricht Universiteit resulteerde in een gijzeling van de systeem functionaliteiten en toegang tot de e-mail. Het was een moeilijke keuze: 30 bitcoins betalen of de universiteit sluiten.
Maastricht Universiteit zag zich genoodzaakt om voor de eerste optie te kiezen. De universiteit sluiten zou immers resulteren in studenten die niet konden afstuderen, het niet kunnen uitbetalen van salarissen aan medewerkers en het belemmeren van lopend onderzoek. Ook de Universiteit van Amsterdam (UVA) en Hogeschool van Amsterdam (HVA) werden getroffen door een aanval in Maart 2021. Desalniettemin hadden beide onderwijsinstellingen effectieve maatregelen getroffen om de aanval volledig af te slaan. De toenemende frequentie van cyber aanvallen maakt informatiebeveiliging steeds meer een prioriteit voor het onderwijs. Zo heeft de nasleep van de Maastricht Universiteit hack ook voor verbeteringen op dit vlak gezorgd.
Na het 2019 cyber incident op Maastricht Universiteit, hebben onderwijsinstellingen de belangrijkste leerpunten opgenomen die voortkwamen uit de evaluatie van dat incident, namelijk:
De UvA en HvA tonen dat het vroegtijdig reageren op zo’n aanval essentieel is om een cyberaanval te voorkomen. Het stelselmatig veranderen van de wachtwoorden is daarom ook noodzakelijk om inbraak en eventuele datalekken te voorkomen. Reactionair handelen is niet meer de status quo: het is essentieel dat onderwijsinstellingen zich proactief opstellen en het bewustzijn rondom privacybescherming vergroten. Ten slotte is het cruciaal om cybersecurity naar een hoger niveau te tillen aangezien het één van de grootste uitdagingen is waarmee we in onze huidige samenleving worden geconfronteerd.
Bronnen: Aantal Cyberaanvallen op Onderwijs en Onderzoekssector gestegen met 75% (Cybercrime Info), De ‘non-human (f)actor in cybercrime (Wytsek van der Waagen en Frank Bernaards), Cyberdaders: uniek profiel, unieke aanpak? Een onderzoek naar kenmerken van en passende interventies voor daders van cybercriminaliteit in enge zin (Dr. W. van der Wagen et al.), ibid, Cybersecuritybeeld Nederland (NCTV), DDoS-aanvallen treffen scholen: We haalden de boeken weer uit de kast (Joost Schellevis), Hackers Universiteit Maastricht zaten maanden in netwerk (NOS), Cyberdreigingsbeeld 2021-2022 (Surf) en Case study: What Maastricht University learned from the ransomeware attack (Davina Luyten).