Het was eerder bekend dat deze accounts ooit gehackt waren. De universiteit liet de accounthouders dan ook hun wachtwoord veranderen. Maar de medewerkers hergebruikten hun oude wachtwoorden en dat werd niet automatisch tegengehouden.

Daarnaast had de universiteit geen multi-factor authenticatie op de log-in van het VPN-systeem. Daarmee kunnen gebruikers ook buiten de campus, bijvoorbeeld thuis, verbinding maken met het netwerk. Die extra veiligheidsbarrière zou worden ingevoerd in de eerste helft van 2025, maar was dus nog niet gebeurd.

Hacker zat al dagen in netwerk
De hackers probeerden met drie accounts in te loggen. Bij eentje lukte dat. Op maandagochtend 6 januari maakten ze verbinding met het VPN-systeem. Ze logden in en vertrokken toen al gauw. Dagenlang gebeurde er niks, tot zaterdagavond 11 januari. Toen begon de cyberaanval.

De daders die avond probeerden dieper door te dringen in het computernetwerk. Daarbij gebruikten ze rechten die een normale gebruiker niet heeft. Ze hadden vrij spel om vrij rond te neuzen in het systeem en interessante bestanden te doorzoeken of te downloaden.

Toen de dader kwaadaardige software installeerde werd dat gedetecteerd. Een oplettende medewerker van de universiteit zag verdacht digitaal verkeer en sloeg alarm. Na 14 minuten begon de eerste tegenaanval.

Kat en muis
Daarna ontstond een kat-en-muis-spel, zo noemde de universiteit het op een persconferentie maandag. In de uren die volgden kwamen interne en externe experts helpen. Ook de politie werd er bij gehaald. Vier uur na de aanval werd een radicale beslissing genomen: de universiteit ging van het internet af. Alles offline.

De experts konden vanaf dat moment alleen lokaal. dus binnen de gebouwen van de universiteit kabels leggen en toegang krijgen tot de computer.

Plat
Vijf dagen lang lag het complete computernetwerk en de verbinding met de buitenwereld plat. Niemand kon bij onder meer de mail of opgeslagen documenten. 20.000 studenten en medewerkers konden niets meer.

Colleges werden geschrapt, tentamens uitgesteld. Dat leidde vooral tot 'ongemak en stress', zei Patrick Groothuis, de vicevoorzitter van het College van Bestuur maandag op een persconferentie.

Toen de systemen weer online gingen moest iedereen zijn of haar wachtwoord resetten.

Gijzelen
Er kwamen drie onderzoeken. Conclusie is dat de universiteit door het oog van de naald is gekropen. De hacker had het hele systeem kunnen 'gijzelen'. Dat betekent dat het digitaal op slot gaat en pas wordt vrijgegeven als een bedrag aan losgeld wordt betaald, een zogenoemde ransomware-aanval.

Bij zo'n aanval probeert de hacker back-ups uit te schakelen. Zonder back-up is een digitale gijzeling veel succesvoller. Slachtoffers van ransomware hebben vaak twee opties: de back-up terugzetten, of losgeld betalen. Zover kwam het dus niet.

Hertentamens
De nasleep van de cyberaanval is tot op de dag merkbaar want er zijn nog steeds hertentamens. Bovendien hebben externe onderzoeksgroepen nog steeds niet volledig toegang zoals vroeger.

Systeembeheer is ook nog steeds druk met de beveiliging. Beveiligingsplannen zijn eerder ingevoerd dan gepland.

Kwetsbaarheden in de cybersecurity zijn aangepakt, laat de universiteit weten. Ook zegt de universiteit daarin te blijven investeren. "Het blijft een wapenwedloop waarin je nooit stil kan staan", besluit vicevoorzitter Patrick Groothuis. Hij vreest dat ook de hackers hebben geleerd van de aanpak en noemt het een 'rat-race'.

Daders?
Wie er achter de cyberaanval zit, blijft onduidelijk. Het kunnen criminelen zijn geweest die uit waren op losgeld. Maar het kan bij wijze van spreken ook een hobbyist op een zolderkamer zijn geweest die in zijn eentje probeerde om de universiteit af te persen.

Het kan zelfs ook nog zijn dat de hacker zijn gegevens van 6 januari heeft verkocht aan iemand die op 11 januari de aanval opende.

Al die scenario's loopt de politie na. Want na de aangifte van 11 januari zoeken cyber-experts sporen van de dader.

Prijs
Bijzonder is wel dat de snelle actie van de universiteit opviel in het wereldje van de cybersecurity. Het hoofd computerveiligheid van de TuE Martin de Vries is met twee andere vakgenoten, genomineerd voor een landelijke prijs.