Infostealer oorzaak achter aanval TU Eindhoven

24 januari 2025

De cyberaanval op de Technische Universiteit Eindhoven (TU/e) blijkt veroorzaakt door zogenoemde infostealer-malware. Dit type schadelijke software is ontworpen om inloggegevens, wachtwoorden en andere gevoelige informatie van besmette systemen te stelen. De aanval werd twee weken geleden ontdekt en leidde ertoe dat de universiteit haar netwerk tijdelijk offline haalde.

Gestolen inloggegevens

Onderzoek wijst uit dat de hackers toegang kregen tot het netwerk door gestolen inloggegevens van een medewerker en een student te gebruiken. Deze gegevens waren waarschijnlijk buitgemaakt via een infostealer die op hun apparaten terechtkwam. Infostealers verspreiden zich vaak via malafide e-mails, nepsoftware of geïnfecteerde downloads. Zodra een systeem besmet is, stuurt de malware gebruikersgegevens door naar de aanvallers, die deze vervolgens kunnen misbruiken.

Wat is een infostealer?

Een infostealer is een vorm van malware die specifiek ontwikkeld is om gegevens te verzamelen en door te sturen naar cybercriminelen. Dit kunnen inloggegevens, bankgegevens, browsercookies of zelfs toetsaanslagen zijn. Deze gestolen informatie wordt vaak doorverkocht op het dark web, waar andere criminelen ze gebruiken voor verdere aanvallen, zoals identiteitsfraude of toegang tot bedrijfsnetwerken.

Infostealers kunnen op verschillende manieren op een apparaat terechtkomen:

Via phishingmails met kwaadaardige bijlagen of links.
Door onveilige downloads van illegale software of films.
Via besmette advertenties op dubieuze websites.

Onderzoek naar toedracht

De TU Eindhoven werkt samen met cybersecurity-experts om de exacte toedracht van de aanval te achterhalen. Voorlopige bevindingen wijzen op een datalek waarbij accountgegevens van minstens twee personen zijn misbruikt. Hoe deze accounts precies besmet raakten, is nog niet duidelijk. De universiteit houdt zich op de vlakte over verdere details en verwacht pas in april de volledige resultaten van het onderzoek te publiceren.

Andere onderwijsinstellingen zijn door de TU/e geïnformeerd over de aanval. Dit heeft ertoe geleid dat de Radboud Universiteit Nijmegen versneld multifactorauthenticatie (MFA) verplicht heeft gesteld voor bepaalde diensten. Dit helpt het risico te verkleinen dat gestolen wachtwoorden direct bruikbaar zijn voor aanvallers.

Willekeur of gerichte aanval?

Het is nog onduidelijk wie verantwoordelijk is voor de aanval. Cybercriminelen gebruiken infostealers vaak om massaal gegevens te verzamelen, zonder direct een specifiek doelwit in gedachten te hebben. Dit kan betekenen dat de TU Eindhoven simpelweg een willekeurig slachtoffer was. Tegelijkertijd is er speculatie dat de aanval een opstap was naar een grotere actie, zoals een ransomware-aanval of industriële spionage.

Cybersecurity-experts wijzen erop dat universiteiten aantrekkelijke doelwitten zijn vanwege de grote hoeveelheden waardevolle onderzoeksgegevens en de vaak open IT-structuren. In het verleden waren ook de Universiteit van Amsterdam en de Hogeschool van Amsterdam slachtoffer van soortgelijke aanvallen met infostealer-malware.

Risico verkleinen

Hoewel geen enkele beveiligingsmaatregel 100% bescherming biedt, zijn er een aantal eenvoudige stappen om de kans op een infectie met infostealers te verkleinen:

Klik niet zomaar op links of bijlagen in verdachte e-mails
Gebruik unieke wachtwoorden en stel waar mogelijk MFA in
Download software alleen van betrouwbare bronnen
Houd je besturingssysteem en antivirussoftware up-to-date

De aanval op TU Eindhoven laat zien hoe kwetsbaar zelfs grote instellingen kunnen zijn voor cybercriminelen. Bewustzijn en voorzorgsmaatregelen blijven essentiële bescherming tegen dit soort dreigingen.