Gesloten goudkleurig slot op een laptop

Cybercriminelen maken data buit van tien universiteiten

Laatst bijgewerkt: 25 juli 2020
Leestijd: 4 minuten, 48 seconden

Blackbaud, een bedrijf dat cloud- en administratiediensten levert aan universiteiten en goededoelenorganisaties, is het slachtoffer geworden van een cyberaanval. Internetcriminelen slaagden erin om ransomware te installeren op de servers van het bedrijf. Zo slaagden ze erin om data buit te maken van ten minste tien universiteiten en twee stichtingen. Blackbaud wist de aanval af te slaan, maar betaalde losgeld aan de criminelen om te voorkomen dat ze de gestolen data publiekelijk zouden aanbieden.

Dat schrijft BlackBaud in een kort persbericht.

Wat is ransomware?

Ransomware wordt ook wel gijzelsoftware genoemd. De daders proberen deze software ongemerkt te installeren op een computer of computernetwerk en zo de controle over het systeem over te nemen. Door de toegang tot data en andere bestanden te blokkeren, proberen de criminelen het doelwit over te halen om losgeld te betalen. Daarbij gaat het veelal om bitcoins, omdat dergelijke transacties anoniem plaatsvinden. Betalen ze niet, dan dreigen de hackers om de buitgemaakte data via online fora of het dark web te verkopen. Zodra het geld is overgemaakt, beloven de daders de decryptiesleutel te overhandigen zodat de eigenaar weer bij zijn bestanden kan.

Blackbaud betaalde losgeld om verkoop van buitgemaakte data te voorkomen

De ransomware-aanval bij Blackbaud vond al in mei plaats. Waarom het bedrijf zolang heeft gewacht om het nieuws naar buiten te brengen, is niet duidelijk. In een persverklaring vertelt de organisatie in het kort wat er is voorgevallen. Daarin schrijft ze dat ze in mei een ransomware-aanval bespeurde op haar servers.

Toen Blackbaud lucht kreeg van de ransomware-aanval, trof het Cyber Security Team samen met forensische experts van buitenaf en opsporingsdiensten direct maatregelen. Zo voorkwamen ze dat het gehele systeem werd overgenomen en alle data werd versleuteld. Uiteindelijk werden de criminelen geheel buitengesloten. Ze slaagden er echter wel in om de nodige data buit te maken bij de cyberaanval. Blackbaud benadrukt dat de daders geen toegang hadden tot privacygevoelige informatie als creditcardnummer, bankrekeningnummers of burgerservicenummers.

Volgens Blackbaud dreigden de criminelen om de gestolen data naar buiten te brengen. “Omdat het beschermen van de data van onze klanten onze hoogste prioriteit is, hebben we de cybercriminelen betaald met de eis dat alle kopieën zouden worden vernietigd”, zo schrijft het bedrijf. Uit zowel eigen als onafhankelijk onderzoek blijkt dat de daders de data niet hebben doorgespeeld aan andere partijen of op welke manier dan ook is misbruikt.

ICO werd pas na zes weken ingelicht

Hoeveel losgeld Blackbaud heeft betaald, is niet duidelijk. Het bedrijf laat ook in het midden van welke partijen data is buitgemaakt. Volgens de BBC zijn minimaal tien universiteiten en twee stichtingen de dupe geworden van de criminelen. Naar verluidt gaat het om onderwijsinstellingen in het Verenigd Koninkrijk, de Verenigde Staten en Canada. Volgens het Britse medium zijn onder meer de University of York, University of Londen, Oxford University en University of Exeter het slachtoffer geworden van de criminelen.

Volgens de BBC heeft Blackbaud vorige week pas het Britse Information Commissioner’s Office (ICO) ingelicht over de cyberaanval, de Britse tegenhanger van de Autoriteit Persoonsgegevens. Volgens de Europese privacywet moeten bedrijven waarbij persoonlijke gegevens zijn buitgemaakt dit binnen 72 uur melden. De kans is dan ook reëel dat Blackbaud nog een forse boete krijgt, omdat ze dit heeft nagelaten.

Veel privacygevoelige informatie gestolen

De University of York bevestigt dat er data is buitgemaakt van studenten, alumni en medewerkers. De onderwijsinstelling werd hierover vorige week ingelicht door Blackbaud. Volgens de persverklaring hebben de daders veel persoonlijke informatie buitgemaakt, waaronder namen, geslacht, geboortedatum, telefoonnummer, e-mailadres, LinkedIn-profiel, waar ze werken, en ga zo maar door. Alle gedupeerden zijn door de medewerkers van de universiteit op de hoogte gebracht van de cyberaanval.

Human Rights Watch zegt ook getroffen te zijn door de ransomware-aanval. De mensenrechtenorganisatie zegt dat de daders informatie van huidige en mogelijk toekomstige donateurs hebben gestolen. De stichting maakt niet langer gebruik van de diensten van Blackbaud om creditcard- en donatie-informatie te verwerken. “Human Rights Watch neemt privacy en beveiliging zeer serieus. We betreuren het dat dit is gebeurd en nemen maatregelen om ervoor te zorgen dat het niet nog een keer gebeurd”, aldus de belangenorganisatie. Ook zij zegt haar klanten persoonlijk te hebben geïnformeerd over het datalek bij Blackbaud.

Blackbaud zegt dat ze de beste security benchmarks in zowel de financiële als technologische sector heeft. Tevens werkt ze nauw samen met diverse internationale organisaties om haar cybersecuritybeleid te monitoren en verbeteren. Het persbericht eindigt met de mededeling dat er maatregelen zijn getroffen om te zorgen dat het in de toekomst niet nog een keer gebeurt.

University of California en Universiteit Maastricht waren ook slachtoffer van hackers

De University of California was afgelopen maand nog volop in het nieuws, omdat ze was aangevallen door hackers. Met een ransomware-aanval wisten zij het computernetwerk van de onderwijsinstelling binnen te dringen en data te versleutelen. Om de schade te beperken werd het core-netwerk afgesloten. Uit onderzoek bleek dat er geen patiëntgegevens of medische dossiers waren buitgemaakt. De universiteit betaalde uiteindelijk 1,14 miljoen dollar aan losgeld om weer toegang te krijgen tot het netwerk en de onderzoeksdata van academici.

In ons land overkwam de Universiteit Maastricht hetzelfde. Cybercriminelen verstuurden een Excel-bestand met kwaadaardige macro’s naar medewerkers van de universiteit. Toen zij deze bestanden openden, konden de hackers het netwerk van de onderwijsinstelling infiltreren. Uiteindelijk namen de hackers het gehele netwerk over en konden studenten en wetenschappers niet langer bij hun onderzoekdata. Medewerkers slaagden er niet in om de aanval ongedaan te maken. Uiteindelijk besloot de universiteit om de hackers bijna 200.000 euro te betalen voor de decryptiesleutel.

De Inspectie van het Onderwijs deed onderzoek naar de aanval en concludeerde dat de Universiteit Maastricht niet voorbereid was op een cyberaanval. De afhandeling van de crisis verliep volgens de Inspectie ‘adequaat’ en had de onderwijsinstelling passende maatregelen getroffen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen