Het jaar van SURFcert: heftige ransomware-aanvallen en doorwerken met Kerstmis
SURFcert, het Computer Security Incident Response Team (CSIRT) van SURF, onderzoekt en coördineert alle ict-beveiligingsinbreuken waarbij op SURF aangesloten instellingen zijn betrokken. Wim Biemolt en Remon Klein Tank van SURFcert vertellen over de hoogte- en dieptepunten van 2021.
2021 was een druk jaar voor SURFcert, met een aantal heftige ransomwareaanvallen, een flinke toename in de intensiteit van DDoS-aanvallen en als kersttoetje de Log4j-kwetsbaarheid. Goed nieuws is er ook: doordat steeds meer instellingen multifactorauthenticatie (MFA) inrichten, neemt de impact van phishingmails af.
Informatie delen en pro-actief waarschuwen
Een voorbeeld van een incident waar SURFcert in 2021 druk mee is geweest, is de ransomware-aanval op NWO in februari 2021. SURFcert was ter plekke om de schade te inventariseren en de omvang te bepalen. In samenwerking met NCSC en een extern forensisch it-bedrijf werd een plan de campagne opgesteld. De aanval leverde onrust op onder de aangesloten onderzoeksinstellingen.
Remon Klein Tank, lid van SURFcert en senior information security officer bij de WUR, vertelt: ‘De instellingen maakten zich zorgen over onderzoeksvoorstellen die mogelijk op straat zouden komen te liggen. We probeerden ze handelingsperspectief te bieden door te delen wat we wisten over de aanval.’ Vaak bestaat er terughoudendheid bij slachtoffers om een aanval te melden. Andere instellingen willen juist heel graag dat dingen worden gedeeld. ‘Probeer je in beide situaties te verplaatsen,’ raadt Wim Biemolt aan. Biemolt is de voorzitter van SURFcert. ‘Je hebt gebruikgemaakt van de keren dat er werd gedeeld. Houd dat in gedachte als je onverhoeds zelf het slachtoffer wordt.’ Waar nodig anonimiseert SURFcert de informatie. ‘Zeker aan het begin van zo’n incident, als je nog geen duidelijk beeld hebt van wat er gaande is, is het wel relevant om informatie te delen, maar niet om te verspreiden wíe er geraakt is,’ zegt Klein Tank.
Dreigen met publiceren
Bij de aanval op NWO zag SURFcert voor het eerst een ontwikkeling die inmiddels een trend onder cybercriminelen kan worden genoemd: dreigen met het publiceren van buitgemaakte data. ‘Bij NWO hebben de hackers alle registers opengetrokken en zowel de boel versleuteld als gevoelige data gedeeld,’ zegt Biemolt. ‘Wat we steeds vaker zien, is dat criminelen niet de moeite nemen om te versleutelen, maar alleen dreigen om data te publiceren. Dat is een verdienmodel op zich.’ SURFcert verwacht daarnaast meer incidenten die worden veroorzaakt door statelijke actoren. Biemolt vertelt: ‘Een DDoS-aanval op Oekraïne werd onlangs uitgevoerd vanuit een server die in Nederland staat. Dat kan ons ook gebeuren, vanwege onze goede connectiviteit. Maar hoe reëel het is dat we op die manier betrokken raken bij incidenten, vind ik moeilijk te zeggen.’
Actief scannen op kwetsbaarheden
Het jaar werd uitgeluid met de Log4j-kwetsbaarheid. In de veelgebruikte Apache Log4j-software werd een ernstige kwetsbaarheid ontdekt, die zeker tot misbruik zou leiden als organisaties niet op tijd actie ondernemen. Klein Tank: ‘Als SURFcert hebben we een buitengewoon goede informatiepositie. We kennen veel andere partijen en we ontvangen dus ook veel. We proberen alle relevante informatie te verzamelen in een open factsheet. Het beeld wordt steeds helderder, totdat we instellingen heel concrete handvaten kunnen geven.’ Biemolt: ‘Bij een ontwikkeling zoals Log4j faciliteren we het actief scannen op kwetsbaarheden. We proberen de criminelen een stapje voor te zijn, door kwetsbare instellingen gericht te benaderen: jij hebt daar iets staan waar je nu iets mee moet doen. Zo hoeft niet iedere instelling dat voor zichzelf uit te zoeken.’ Over het feit dat de kwetsbaarheid in Log4j juist rond de kerstdagen aan het licht kwam, doen ze luchtig. ‘Het zijn ook de interessantere zaken. Je zit ook bij de brandweer om af en toe een brand te blussen, toch? Niet om alleen maar katten te redden.’
Tekst: Marjolein van Trigt
Meer weten over SURFcert? Klik dan op onderstaande button voor meer informatie.