Met het aantal computers, medewerkers en studenten dat de Universiteit Leiden heeft, worden er dagelijks tientallen virussen onschadelijk gemaakt. Maar soms gebeurt er iets bijzonders, en soms is er zelfs sprake van een gerichte, grootschalige aanval. Dat laatste is de universiteit in januari overkomen; er werd een geavanceerd virus verspreid dat speciaal gemaakt is om grote organisaties te treffen. Het virus verspreidde zich in eerste instantie via e-mail, waarbij de mail vaak afkomstig leek van een collega. Maar daarnaast verspreidde het zichzelf ook via het netwerk. Het heeft het ISSC (de ICT-dienstverlener van de universiteit) ruim twee weken gekost om het virus helemaal te neutraliseren en alle aangerichte schade te herstellen. Daarbij is dankbaar gebruik gemaakt van de kennis en kunde die de universiteit zelf in huis heeft, onder andere bij het Leiden Institute of Advanced Computer Sciences, het LIACS.
Het virus was een trojan met de naam ‘Emotet’, een kwaadwillend programma vermomd als iets onschuldigs. In dit geval was het een Engelstalig mailtje over een niet betaalde rekening, met de ‘rekening’ als Word-bestand bijgevoegd. Werd het Word-bestand geopend, dan werd de computer onmiddellijk besmet. Het virus ging dan aan de slag met het binnenhalen van nog meer ellende, waaronder onderdelen die wachtwoorden uit de browsers konden stelen en onderdelen die voor verdere verspreiding over het netwerk konden zorgen.
Toen er meerdere van dat soort mailtjes bij het ISSC waren gemeld, werd al snel duidelijk dat dit geen gewoon virus was. Computers die besmet waren en opnieuw waren uitgerold (voorzien van een verse Windows installatie) werden al snel opnieuw besmet, ook als de gebruiker niet opnieuw een verdacht Word-bestand had geopend.
Bij de verdere analyse heeft het ISSC ook een aantal studenten ingeschakeld. Het ISSC werkt met studenten van onder andere het LIACS voor het ondersteunen van Linux werkplekken, voornamelijk bij de faculteit Wiskunde en Natuurwetenschappen. Vijf studenten vullen daar samen één fte. Met hun hulp werden er steeds meer domeinen in Rusland, China en Afrika waarmee het virus probeerde de communiceren, geïdentificeerd in de code ervan.
Deze domeinen konden vervolgens geblokkeerd worden. En de werking van het virus werd ontleed, waardoor de verspreidingsmethode op het netwerk tegengehouden kon worden. Uiteindelijk zijn veertien verschillende varianten van hetzelfde virus ontdekt en ontleed.
Dankzij al deze informatie konden de juiste maatregelen genomen worden. Onder andere blokkades in de firewall, filters in de mail, aanpassingen aan de werking van de Windows installatie en instellingen van de antivirus. Ook moesten er 174 computers opnieuw uitgerold worden. Maar er moest ook veel communicatie plaatsvinden, met getroffen gebruikers maar ook, om verdere besmettingen te voorkomen, met alle medewerkers en studenten van de universiteit. Een enorme klus waar niet alleen het ISSC, maar ook informatiemanagers bij de faculteiten ruim twee weken hun handen aan vol hebben gehad, binnen en buiten kantoortijden.
Het bestrijden van virussen blijft altijd een wapenwedloop. Het netwerk van de universiteit is nu weer een stukje robuuster dan het al was, maar de virusmakers blijven natuurlijk ook door ontwikkelen. En niet alleen virussen zijn een probleem, ook ‘phishing’ naar wachtwoorden. In februari was er nog zo een, een mailtje van ‘ITService’ over ‘openstaande items in een schema’, waar iets mee gedaan zou moeten worden. De link in het mailtje leidde naar een kopie van een pagina van de universiteit, waar gevraagd werd om gebruikersnaam en wachtwoord.
Daarom blijft waakzaamheid altijd geboden. Het belangrijkste advies blijft: bij twijfel, bel het ISSC (071-527 8888) zodat de helpdesk mee kan kijken of er mogelijk sprake is van een virus of van phishing. En klik niet op verdachte bestanden die per mail binnenkomen, zeker niet als de ontvanger onbekend is, of als de inhoud van de mail niet overeenkomst met wat te verwachten valt van degene van wie de mail afkomstig is. Gaat het toch mis, neem dan in elk geval contact op met het ISSC zodat verdere verspreiding kan worden voorkomen en de helpdesk kan helpen om te zorgen dat er weer veilig verder kan worden gewerkt.
Julian van der Kraats is teamleider Customer Support bij het ISSC en oud-student filosofie van de Universiteit Leiden
Zou jij in een phishing mail trappen? Test hoe bewust jij je bent van je cybergedrag op Cybersave Yourself.
Cybersave yourself is een beveiligingsawareness campagne voor onderwijs en onderzoek met als doel om medewerkers en studenten mee bewust te maken van informatiebeveiliging en privacy’