De Technische Universiteit Eindhoven werd begin dit jaar getroffen door een cyberaanval. Dankzij snelle detectie en besluitvaardig handelen kon erger worden voorkomen. CISO Martin de Vries blikt terug op een week waarin 20.000 studenten en medewerkers zonder toegang tot IT-systemen zaten.
Op zaterdagavond 11 januari 2025, even na tien uur, kreeg Martin de Vries een bericht via Signal. Als Chief Information Security Officer van de Technische Universiteit Eindhoven (TU/e) was hij gewend aan berichten buiten kantooruren, maar dit was anders. Een IT-medewerker had een signaal van de security monitoring ontvangen van verdachte activiteit in het netwerk van de universiteit – signalen die wezen op een cyberaanval in volle gang.
“Ik werd geïnformeerd door het team dat al ruim drie kwartier bezig was met het bestrijden van de aanval,” vertelt De Vries. “Daar kwam een verhaal naar voren van: ze hebben eigenlijk de allerhoogste rechten ondertussen op de domeincontroller. Dat betekent dat ze zelf ook accounts kunnen aanmaken, groepen kunnen aanmaken. En dat hebben ze ook gedaan.”
Het werd al snel duidelijk dat dit geen gewone inbraakpoging was. De aanvallers hadden beheerderrechten bemachtigd over het hart van het IT-systeem van TU/e. “Het was een kat-en-muisspel,” legt De Vries uit. “Elke keer als wij een account uitschakelden of servers probeerden te isoleren, zagen we ze op een andere server opduiken. En ze waren ook bezig om onze rechten in te nemen, omdat zij dat ondertussen ook konden. Toen kreeg ik het advies: we moeten het netwerk offline halen. Dat wordt in een paar zinnen uitgelegd en dan denk je: dat gaan we gewoon doen.”
Besluit met grote gevolgen
Fotografie: Vincent van den Hoogen
Het besluit om het gehele netwerk van de universiteit offline te halen, had verstrekkende gevolgen. Bijna 14.000 studenten en 4.700 medewerkers verloren toegang tot alle netwerkgebonden systemen. Onderwijs lag stil, onderzoek kwam tot stilstand en tentamens moesten worden uitgesteld. “De grootste impact zat hem in het feit dat zowel studenten als medewerkers geraakt werden,” zegt De Vries.
Het drastische besluit bleek achteraf cruciaal te zijn geweest. Fox-IT, het cybersecuritybedrijf dat de forensische analyse uitvoerde, bevestigt dat TU/e op het juiste moment had ingegrepen. De onderzoekers ontdekten dat de aanvallers alle kenmerken vertoonden van een ransomware-operatie: ze hadden de hoogste beheerdersrechten bemachtigd, installeerden externe toegangssoftware op verschillende systemen en probeerden zelfs het back-upsysteem uit te schakelen – allemaal typische voorbereidingen voor het versleutelen van bestanden. Door het netwerk tijdig offline te halen werd een ramp voorkomen: geen versleutelde systemen, geen grootschalige diefstal van gevoelige data en geen losgeldeisen van cybercriminelen.
Conventionele aanval
Uit de forensische analyse bleek dat de aanvallers op 6 januari voor het eerst toegang hadden gekregen tot het netwerk van TU/e. Ze waren binnengekomen via de VPN-verbinding met gelekte inloggegevens van medewerkers – een veelgebruikte methode in de cybercriminaliteit. De Vries heeft geen aanwijzingen dat de aanvallers in de tussenliggende dagen actief waren op het netwerk, totdat ze op zaterdagavond 11 januari plots in actie kwamen.
Dat patroon verraadde volgens De Vries hun gebrek aan ervaring. “Ze hadden weinig positie ingenomen,” legt hij uit. “Als je een ransomware-aanval goed wil laten slagen, ga je heel snel op heel veel verschillende plekken in één keer actie ondernemen. In eerste instantie ook relatief low-key: gegevens verzamelen, data kopiëren.”
In plaats van die geraffineerde aanpak kozen de cybercriminelen voor een directe confrontatie die onmiddellijk de alarmbellen deed rinkelen. “Ik denk dat ze niet heel ervaren waren in het uitvoeren van ransomware-aanvallen.” Die onbezonnenheid werd voor een deel TU/e’s redding. Door hun agressieve aanpak werden ze snel ontdekt, voordat ze hun werkelijke doel – het versleutelen van systemen – konden bereiken. “Wij waren gewoon nog in staat om op dat moment met ze het gevecht aan te gaan,” zegt De Vries. “Dat betekent dat ze op dat moment niet meer kunnen doen wat ze willen doen, want ze moeten ook op jou reageren.”
Bekende kwetsbaarheden
Die VPN-toegang met gelekte inloggegevens was voor TU/e geen onbekend risico. Er zat geen multi-factor authenticatie op de VPN-verbinding – iets wat op de planning stond voor de zomer van 2025. Ook de configuratie van Active Directory bevatte bekende zwakke punten, noodzakelijk voor ondersteuning van oudere onderzoeksapparatuur.
“We hebben te maken met een IT-landschap wat zowel oud als nieuw moet kunnen ondersteunen,” verklaart De Vries. “We hebben onderzoeksgroepen met verouderde onderzoeksapparatuur die nog prima werkt voor hun onderzoek, maar die nog wel met bijvoorbeeld Windows 7 omgaat.”
Wat wel verrassend was: de gelekte accounts waren al eind 2024 gemarkeerd als ‘risky users’. De betreffende medewerkers hadden een mail gekregen met de opdracht hun wachtwoord te wijzigen. “Er zat een configuratiefout in, zodat ze eigenlijk hetzelfde wachtwoord weer opnieuw konden gebruiken. Dat is iets wat wij niet wisten.”
Gestroomlijnde crisisrespons
Ondanks de dramatische situatie verliep de crisisrespons van TU/e opvallend soepel. Vanaf het moment dat duidelijk werd dat het netwerk offline moest, wist iedereen wat er van hem of haar werd verwacht. “Het opschalen ging direct,” beschrijft De Vries het proces. “Je hebt mensen uit het management die dan de voorzittersrol van het crisisteam op zich nemen, er wordt een plotter aangewezen die beschikbaar is, en dan loopt het gewoon.”
Die vanzelfsprekendheid was het resultaat van jarenlange voorbereiding. TU/e oefent regelmatig met cybercrisissen, zowel intern als in sectorverband via de OZON-oefeningen van SURF. “Zodat iedereen in die crisisorganisatie zijn rol weet,” legt De Vries uit. “Dat je niet meer op het moment dat die crisis er is elkaar aankijkt van: hoe ging het ook alweer? Of wat doet een plotter nou precies? Wat is de rol van de voorzitter? Dat weet iedereen dan al.”
Fotografie Vincent van den Hoogen
Vanaf het allereerste moment koos TU/e voor openheid. “Op zondagochtend, toen het hele netwerk eruit lag, keken we elkaar aan en zeiden we: dit gaan we niet stil kunnen houden, als we dat al zouden willen,” vertelt De Vries. “Met een populatie van studenten en medewerkers van bijna 20.000 mensen moet je wel open communiceren. Dan kun je maar beter zelf de controle houden.” De universiteit koos voor een duidelijke communicatiecadans: dagelijks om 16.00 uur een update via de website. “Je wilt voorkomen dat je telkens weer een stukje informatie communiceert waarbij de ontvanger de hele tijd van ‘is er al nieuws?’ aan het denken is.”
Die transparantie zette TU/e ook door in de nabewerking. Beide evaluatierapporten – van Fox-IT en van onderzoeksbureau COT – werden volledig openbaar gemaakt. “Wij zijn natuurlijk gewoon een universiteit,” legt De Vries uit. “We zijn van het kennis opdoen, we zijn van het kennis delen.”
TU/e volgde daarmee het voorbeeld van de Universiteit Maastricht, die na de ransomware-aanval in 2019 ook heel open communiceerde. “Het is ook een beetje de cultuur binnen de educatiesector om dit soort dingen gewoon met elkaar te delen, om te zorgen dat andere mensen er profijt van hebben en ervan kunnen leren. Vanuit een security-oogpunt zeggen we dit ook altijd: de fouten die ik maak, die hoeft een ander niet te maken.”
Lessen voor de sector
Voor andere universiteiten heeft De Vries dan ook een duidelijke boodschap: “Oefenen, oefenen, oefenen op cybercrisis en zorgen dat die structuur goed staat. En proberen zoveel mogelijk oude dingen uit te zetten en niet meer te gebruiken.”
TU/e weet dat de dreiging na de aanval niet ineens is verdwenen. “Het adagium is al een paar jaar: het is niet een kwestie óf, maar een kwestie van wanneer,” aldus De Vries. “Je moet er rekening mee houden als organisatie dat het gewoon een keer gebeurt. Hoe goed je ook je security op orde hebt.”
De universiteit heeft inmiddels wel extra maatregelen getroffen. Oude onderzoekssystemen krijgen pas weer internettoegang na een uitgebreide veiligheidscheck. “We zijn daar een onboardingstraject extra gestart om te zorgen dat we dat nu versneld goed inzichtelijk hebben.”
Tegelijkertijd blijft De Vries realistisch over de uitdagingen. “Je hebt ruim 5.000 onderzoekers rondlopen die dagelijks dingen aan het doen zijn om hun onderzoek te faciliteren. Daar kan ook echt wel eens een keer wat tussen zitten wat we niet direct in de vingers hebben.”
Absolute veiligheid bestaat simpelweg niet, erkent hij. “We zijn nu niet in één keer 100 procent veilig. Het kan nog steeds een keer gebeuren. Maar, als het goed is, niet op dezelfde manier. Het is prima als we fouten maken, maar het liefst niet twee keer achter elkaar – want dan hebben we niet goed geleerd.”
De cyberaanval op TU/e toont aan dat zelfs goed voorbereide organisaties kwetsbaar blijven. Maar het illustreert ook dat snelle detectie, decisief handelen en goede voorbereiding het verschil kunnen maken tussen een beheerste crisis en een ramp.